วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (กันยายน 2024)
Microsoft กำลังเปิดตัว Patch วันอังคารในเดือนกันยายน บริษัท ได้แก้ไขข้อผิดพลาด 42 ข้อในกระดานข่าวสี่ฉบับซึ่งครอบคลุมถึง Internet Explorer, . NET Framework, Windows Task Scheduler และ Microsoft Lync
ใช้การปรับปรุง Internet Explorer มันอาจปกป้องคุณจากการโจมตีแบบ zero-day
Bug Chatty ปิดแล้ว
Microsoft ให้คะแนนการอัพเดทเพียงหนึ่งครั้งเท่านั้น - โปรแกรมแก้ไขแบบสะสมสำหรับ Internet Explorer (MS14-052) - เป็น "สำคัญ" ซึ่งหมายความว่า Microsoft รู้ว่าแมลงอยู่ในระหว่างการโจมตีหรือคาดว่าผู้โจมตีจะใช้ประโยชน์จากข้อบกพร่องภายใน 30 วัน ข้อบกพร่องยังสามารถส่งผลให้เกิดการเรียกใช้โค้ดจากระยะไกล
Microsoft แก้ไขช่องโหว่ 37 รายการใน IE รวมถึง 26 ช่องโหว่ที่เกิดจากการทุจริตของหน่วยความจำส่วนตัวจาก Internet Explorer 6 ไปจนถึง Internet Explorer 11 ล่าสุด Microsoft ยังแก้ไขข้อผิดพลาดในการเปิดเผยข้อมูลที่ใช้ในการโจมตีศูนย์ปฏิบัติการที่เกี่ยวข้องกับ Operation SnowMan แคมเปญ cyberespionage เมื่อต้นปีนี้
ในแคมเปญนั้นผู้โจมตีใช้ประโยชน์จากข้อผิดพลาดในการเปิดเผยข้อมูลเพื่อตรวจสอบว่าคอมพิวเตอร์ที่ถูกโจมตีนั้นกำลังเรียกใช้ Enhanced Mitigation Experience Toolkit (EMET) ของ Microsoft และการป้องกันความปลอดภัยอื่น ๆ หรือไม่ EMET เป็นชุดเครื่องมือฟรีจาก Microsoft พร้อมด้วยเทคนิคการลดการใช้ประโยชน์จากช่องโหว่ต่างๆ องค์กรสามารถใช้ EMET เพื่อป้องกันการโจมตีแบบ zero-day เป็นการชั่วคราว ช่องโหว่ (CVE-2013-7331) ใน IE "ช่วยให้ผู้โจมตีจากระยะไกลสามารถระบุชื่อพา ธ ในพื้นที่ชื่อพา ธ ที่ใช้ร่วมของ UNC ชื่อโฮสต์อินทราเน็ตและที่อยู่ IP ของอินทราเน็ตโดยตรวจสอบรหัสข้อผิดพลาด" Amol Sarwate . หากมีเครื่องมืออยู่ผู้โจมตีจะยุติการโจมตี
"โปรแกรมปรับปรุงนี้เป็นความพยายามของ Microsoft ในการจำกัดความสามารถของชุดเครื่องมือที่ใช้ในการหาประโยชน์ที่ระบุว่าใช้เทคนิคการเปิดเผยข้อมูลเพื่อพิจารณาว่ามีการติดตั้งซอฟต์แวร์ความปลอดภัยโดยเฉพาะหรือไม่" Craig Young นักวิจัยด้านความปลอดภัยของ Tripwire กล่าว
บั๊กที่ปฏิเสธการบริการ Oh My
กระดานข่าวที่เหลือสำหรับ. NET, Windows Task Scheduler และ Microsoft Lync ได้ระบุข้อบกพร่องการปฏิเสธการบริการต่าง ๆ และได้รับการจัดอันดับ "สำคัญ" หรือไม่น่าจะส่งผลให้เกิดการเรียกใช้รหัสระยะไกล เพื่อให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่การเลื่อนระดับสิทธิ์ใน Task Scheduler (MS14-054) บุคคลนั้นจะต้องมีข้อมูลประจำตัวที่ถูกต้องและการเข้าถึงระบบที่ได้รับผลกระทบในท้องถิ่นเพื่อเรียกใช้รหัสของตน ปัญหานี้มีอยู่ใน Windows 8, Windows 8.1, Windows RT และ Windows RT 8.1 รวมถึง Windows Server 2012 และ Windows Server 2012 R2 การปรับปรุงกรอบงาน. NET (MS14-053) มีผลกับ. NET ส่วนใหญ่รวมถึงการติดตั้ง ASP.NET ที่เปิดใช้งานบน IIS ข้อผิดพลาดการปฏิเสธบริการใน Microsoft Lync Server 2010 และ Lync Server 2013 อาจทำให้ผู้โจมตีสามารถส่งคำขอ SIP ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ Lync ได้
"ถ้าคุณใช้ ASP.NET หรือส่งการร้องขอการประชุม Lync ไปยังบุคคลที่สามการอัปเดตเหล่านี้มีความสำคัญอย่างยิ่งสำหรับองค์กรของคุณ" Tyler Reguly ผู้จัดการการวิจัยความปลอดภัยของ Tripwire กล่าว "ในบางกรณีพวกเขาอาจได้รับการพิจารณาว่ามีความสำคัญ; การปฏิเสธการให้บริการไม่ใช่สิ่งที่ต้องดำเนินการเบา ๆ "
แพทช์เพิ่มเติมเกี่ยวกับวิธีการ
เพียงเพราะรอบการอัปเดตของเดือนนี้เป็นเพียงเล็กน้อยไม่ได้หมายความว่าถึงเวลาที่ต้องพึงพอใจ Adobe อัพเดท Flash Player ในวันนี้ซึ่งเป็นส่วนหนึ่งของวงจรการอัพเดทเป็นประจำ แต่แพทช์ล่าช้าที่ระบุช่องโหว่สำคัญใน Adobe Reader และ Acrobat สำหรับทั้ง Windows และ OSX แพทช์เหล่านั้นจะมีประโยชน์ในช่วงสัปดาห์หน้า บริษัท กล่าว แพตช์ล่าช้าเนื่องจากปัญหาที่พบระหว่างการทดสอบ Adobe ไม่ได้อธิบายเพิ่มเติมเกี่ยวกับข้อบกพร่องที่เกิดขึ้นจริงนอกเหนือจากการเรียกพวกเขาว่าสำคัญที่สุด ดังนั้นระวังตัวด้วย!