วีดีโอ: Д.И.В. - Забытый герой (Баллады 1998-2001 гг.) (กันยายน 2024)
ไมโครซอฟท์เปิดตัวห้าแพทช์ - อันดับสองเป็น "สำคัญ" และสามเป็น "สำคัญ" - แก้ไขช่องโหว่ 23 ช่องใน Internet Explorer, Microsoft Windows และ Silverlight เป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ของเดือนมีนาคม โปรแกรมปะแก้ IE ก็ปิดช่องโหว่ที่ผู้โจมตีใช้ประโยชน์มาตั้งแต่เดือนกุมภาพันธ์
ผู้โจมตีใช้ช่องโหว่ที่สำคัญแบบ Zero-Day (CVE-2014-0322) ใน Internet Explorer 10 เมื่อเดือนที่แล้วซึ่งเป็นส่วนหนึ่งของ Operation SnowMan ซึ่งบุกรุกเว็บไซต์ที่เป็นของทหารผ่านศึกจากสงครามในต่างประเทศของสหรัฐฯ ผู้ผลิตอากาศยาน IE patch (MS14-022) ปิดข้อบกพร่องนี้และอีก 17 รายการรวมถึงอันที่ถูกใช้ในการโจมตีเป้าหมาย จำกัด กับ Internet Explorer 8 (CVE-2014-0324), Dustin Childs ผู้จัดการกลุ่มที่ Microsoft Trustworthy Computing, เขียนไว้ในบล็อก Microsoft Security Response Center
"เห็นได้ชัดว่าการอัปเดต IE ควรเป็นลำดับความสำคัญสูงสุดของคุณ" Childs กล่าว
ปัญหาเกี่ยวกับ Silverlight
โปรแกรมแก้ไขที่สำคัญอื่น ๆ แก้ไขข้อบกพร่องการเรียกใช้โค้ดจากระยะไกลที่สำคัญใน DirectShow และมีผลกับ Windows หลายรุ่น ช่องโหว่คือวิธีการแยกวิเคราะห์รูปภาพ JPEG โดย DirectShow ทำให้มีแนวโน้มว่าการโจมตีที่ใช้ประโยชน์จากข้อบกพร่องนี้จะแทรกรูปภาพที่เป็นอันตรายในเว็บเพจที่ถูกบุกรุกหรือฝังอยู่ภายในเอกสารกล่าวโดย Marc Maiffret, CTO ของ BeyondTrust กล่าว เป็นที่น่าสังเกตว่าผู้ใช้ที่ทำงานโดยไม่มีสิทธิ์ของผู้ดูแลระบบจะได้รับผลกระทบน้อยลงจากการโจมตีเหล่านี้เนื่องจากผู้โจมตีจะถูก จำกัด ในความเสียหายที่อาจเกิดขึ้นได้
คุณลักษณะความปลอดภัยในการเลี่ยงผ่านใน Silverlight ได้รับการจัดอันดับว่า "สำคัญ" แต่ควรมีความสำคัญสูง ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องได้ด้วยการนำผู้ใช้ไปยังไซต์ที่เป็นอันตรายซึ่งมีเนื้อหา Silverlight ที่สร้างขึ้นมาเป็นพิเศษ Microsoft กล่าว สิ่งที่อันตรายคือผู้โจมตีสามารถข้าม ASLR และ DEP ซึ่งเป็นเทคโนโลยีการลดความเสี่ยงสองทางที่มีอยู่ใน Windows โดยใช้ประโยชน์จากช่องโหว่นี้ Maiffret เตือน ผู้โจมตีจะต้องใช้ช่องโหว่ที่สองเพื่อให้สามารถเรียกใช้รหัสระยะไกลได้หลังจากผ่าน ASLR และ DEP เพื่อให้สามารถควบคุมระบบได้เช่น ASLR bypass flaw patched ในเดือนธันวาคม (MS13-106) ในขณะที่ขณะนี้ไม่มีการโจมตีที่ใช้ประโยชน์จากข้อบกพร่องนี้ แต่ผู้ใช้ควรบล็อก Silverlight ไม่ให้ทำงานใน Internet Explorer, Firefox และ Chrome จนกว่าจะมีการใช้งานแพตช์นี้ Maiffret กล่าว สิ่งสำคัญคือต้องแน่ใจว่ามีการติดตั้งแพตช์เก่า
Microsoft ควรยอมแพ้กับ Silverlight เนื่องจาก "เห็นว่ามีแพตช์จำนวนมากที่มีการนำไปใช้อย่าง จำกัด " Tyler Reguly แนะนำ ตั้งแต่ Microsoft จะให้การสนับสนุนต่อไปจนถึงอย่างน้อยปี 2021 องค์กรต่างๆควรเริ่มย้ายออกจาก Silverlight เพื่อให้ "เราสามารถถอนการติดตั้ง Silverlight และเพิ่มความปลอดภัยของระบบผู้ใช้อย่างมีประสิทธิภาพ" เขากล่าวเสริม
เหลือแพตช์ของ Microsoft
โปรแกรมแก้ไขอื่นที่ควรใช้เร็วกว่านั้นคือโปรแกรมแก้ไขช่องโหว่ของสิทธิ์พิเศษ Windows Kernel Mode Driver (MS14-014) ซึ่งมีผลกับ Windows ทุกรุ่นที่รองรับ (สำหรับเดือนนี้ซึ่งยังคงมี Windows XP อยู่) เพื่อใช้ประโยชน์จากข้อบกพร่องนี้ผู้โจมตี "ต้องมีข้อมูลรับรองการเข้าสู่ระบบที่ถูกต้องและสามารถเข้าสู่ระบบในเครื่องได้" Microsoft เตือน
แพทช์แก้ไขครั้งสุดท้ายแก้ไขปัญหาในโพรโทคอลตัวจัดการบัญชีความปลอดภัยระยะไกล (SAMR) ซึ่งช่วยให้ผู้โจมตีบัญชี Active Directory ที่กำลังทำงานอยู่และไม่ถูกล็อคออกจากบัญชี โปรแกรมแก้ไขจะแก้ไขการเรียก API เพื่อให้ Windows ล็อคบัญชีได้อย่างถูกต้องเมื่อถูกโจมตี "นโยบายการพยายามล็อคด้วยรหัสผ่านมีการจัดทำขึ้นเป็นพิเศษเพื่อป้องกันความพยายามใช้กำลังอย่างดุเดือดและอนุญาตให้ผู้โจมตีที่ประสงค์ร้ายข้ามนโยบายเอาชนะการป้องกันที่ให้ไว้อย่างสมบูรณ์" Reguly กล่าว
การอัปเดตซอฟต์แวร์อื่น ๆ
นี่คือสัปดาห์สำหรับการอัปเดตระบบปฏิบัติการ Apple เปิดตัว iOS 7.1 เมื่อต้นสัปดาห์นี้และ Adobe ได้อัพเดท Adobe Flash Player (APSB14-08) เพื่อปิดช่องโหว่สองช่องในวันนี้ ขณะนี้ปัญหาดังกล่าวยังไม่ถูกนำไปใช้ในทางที่ผิด Adobe กล่าว
Apple แก้ไขปัญหาที่สำคัญบางอย่างใน iOS 7 รวมถึงปัญหาการรายงานข้อผิดพลาดซึ่งอาจทำให้ผู้ใช้ภายในเครื่องสามารถเปลี่ยนการอนุญาตไฟล์ที่กำหนดเองบนอุปกรณ์ที่ได้รับผลกระทบปัญหาเคอร์เนลซึ่งอาจทำให้ระบบถูกยกเลิกโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ และข้อผิดพลาดที่อนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถข้ามข้อกำหนดการลงนามรหัสบนอุปกรณ์ที่ได้รับผลกระทบ Apple ยังแก้ไขข้อผิดพลาดที่ทำให้ผู้โจมตีล่อลวงผู้ใช้ให้ดาวน์โหลดแอพที่เป็นอันตรายผ่าน Enterprise App Download และอีกอันที่อนุญาตให้ไฟล์สำรองที่ออกแบบมาเพื่อประสงค์ร้ายเปลี่ยนระบบไฟล์ iOS
