วีดีโอ: पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H (กันยายน 2024)
ไมโครซอฟท์เปิดตัวเจ็ดแถลงการณ์แก้ไขข้อบกพร่องที่ไม่ซ้ำกัน 34 ข้อใน. NET Framework, เคอร์เนล Windows และ Internet Explorer ซึ่งเป็นส่วนหนึ่งของ Patch เดือนกรกฎาคม นอกจากนี้ยังมีนโยบาย 180 วันใหม่สำหรับตลาด Microsoft เกี่ยวกับแอพที่มีข้อบกพร่องด้านความปลอดภัย
หนึ่งในเจ็ดแถลงการณ์มีการจัดอันดับหกรายการและหนึ่งฉบับได้รับการจัดอันดับความสำคัญ Microsoft กล่าวในการให้คำปรึกษา Patch Tuesday ซึ่งเผยแพร่เมื่อบ่ายวานนี้ Microsoft แนะนำให้ติดตั้ง IE บูเลทีน (MS13-055) ก่อนตามด้วยหนึ่งในบูเลทีนสำหรับไดรเวอร์โหมดเคอร์เนลของ Windows (MS13-053) กระดานข่าว TrueType และ Windows ที่เหลืออยู่ในกลุ่มลำดับความสำคัญถัดไปตามด้วยแพทช์ "สำคัญ" เพียงอย่างเดียว
Ross Barrett ผู้จัดการอาวุโสฝ่ายวิศวกรรมความปลอดภัยของ Rapid7 กล่าวว่า "ทุกสิ่งในโลกของ Microsoft ได้รับผลกระทบจากสิ่งเหล่านี้อย่างน้อยหนึ่งอย่างทุกระบบปฏิบัติการที่รองรับทุกรุ่นของ MS Office, Lync, Silverlight, Visual Studio และ. NET
Windows 8.1 Preview และ IE 11 ไม่ได้รับผลกระทบจากแถลงการณ์ใด ๆ เหล่านี้
น่าเกลียดแบบอักษรน่าเกลียด
กระดานข่าวแยกกันสามรายการ (MS13-052, MS13-053 และ MS13-054) แก้ไขช่องโหว่แบบอักษร TrueType ใน. NET มาร์คฟอนต์ TrueType นี้มีลักษณะคล้ายกับ Stuxnet และ Duqu ที่ถูกเอารัดเอาเปรียบยกเว้นข้อเท็จจริงที่ว่ามันมีอยู่ใน. NET และไม่ได้อยู่ในเคอร์เนลของ Windows Marc Maiffret, CTO ของ BeyondTrust กล่าว
MS13-054 แก้ไขช่องโหว่ TrueType ใน GDI + ซึ่งเป็นคอมโพเนนต์ในเคอร์เนลของ Windows ข้อบกพร่องมีผลกับผลิตภัณฑ์หลายประเภทรวมถึง Windows รุ่น Office 2003/2007/2010, Visual Studio .NET 2003 และ Lync 2010/2013 ทุกรุ่นที่รองรับ Maiffret ทำนายว่าข้อบกพร่องนี้จะถูกโจมตีโดยผู้โจมตีในอนาคตอันใกล้เนื่องจากผลิตภัณฑ์จำนวนมากใช้ GDI +
"MS13-053 เป็นกลุ่มที่เลวร้ายที่สุด" ทอมมี่ชินวิศวกรฝ่ายสนับสนุนด้านเทคนิคของ CORE Security กล่าวเสริมว่า "มันเป็นการเรียกใช้โค้ดจากระยะไกลและการเพิ่มสิทธิพิเศษในหนึ่งเดียว" ผู้โจมตีสามารถใช้โซเชียลเอ็นจิเนียร์ตกเป็นเหยื่อในการดูไฟล์ที่สร้างขึ้นด้วยเนื้อหา TrueType ที่เป็นอันตราย หากประสบความสำเร็จผู้โจมตีจะสามารถเข้าถึงระบบที่ได้รับผลกระทบจากผู้ดูแลระบบได้ Chin กล่าว
ช่องโหว่ในเคอร์เนล Windows ที่ค้นพบโดย Tavis Ormandy นักวิจัยด้านความปลอดภัยได้รับการแก้ไขในกระดานข่าวนี้ด้วย เมื่อพิจารณาถึงช่องโหว่ที่มีอยู่แล้วในกรอบสาธารณะเช่น Metasploit สิ่งนี้ควรมีความสำคัญสูง
Internet Explorer
การอัปเดตครั้งใหญ่ของ Internet Explorer ได้แก้ไขข้อบกพร่อง 17 ข้อโดย 16 ข้อเป็นข้อบกพร่องด้านความเสียหายของหน่วยความจำและเป็นข้อบกพร่องในการเขียนสคริปต์ข้ามไซต์ ข้อบกพร่องที่เกิดจากการทุจริตของหน่วยความจำสามารถใช้ในการโจมตีแบบไดรฟ์โดยที่ผู้โจมตีตั้งค่าหน้าเว็บที่เป็นอันตรายและใช้กลยุทธ์ทางวิศวกรรมสังคมเพื่อดึงดูดผู้ใช้ไปยังหน้าเว็บที่เป็นอันตราย Maiffret กล่าวว่ามีข้อบกพร่องที่ทำให้หน่วยความจำเสียหายมากมายใน Internet Explorer ในช่วงไม่กี่วันที่ผ่านมาและกล่าวเสริมว่า "มีความจำเป็นที่โปรแกรมปะแก้นี้จะถูกเผยแพร่โดยเร็วที่สุด"
การเปลี่ยนแปลงนโยบายของ Microsoft Marketplace
Microsoft ยังประกาศการเปลี่ยนแปลงนโยบายที่เกี่ยวข้องกับตลาด Microsoft ภายใต้นโยบายใหม่แอพใด ๆ ในสี่แอพสโตร์ที่ดำเนินการโดย Microsoft (Windows Store, Windows Phone Store, Office Store และ Azure Marketplace) จะได้รับ 180 วันเพื่อแก้ไขปัญหาด้านความปลอดภัย ไทม์ไลน์นำไปใช้กับช่องโหว่ที่มีความสำคัญหรือสำคัญและไม่ถูกโจมตี
หากไม่ได้รับการติดตั้งภายในกรอบเวลาดังกล่าวแอปจะถูกลบออกจากร้านค้า Microsoft กล่าว นโยบายนี้ใช้กับแอปพลิเคชันจากนักพัฒนาบุคคลที่สามรวมถึง Microsoft
นายเครกยังนักวิจัยด้านความปลอดภัยจาก Tripwire กล่าวว่า“ ไมโครซอฟท์กำลังก้าวไปสู่การลดแอพพลิเคชั่นที่มีช่องโหว่ในแอพสโตร์ต่างๆ
อย่างไรก็ตามเป็นที่น่าสังเกตว่า 180 วันเป็นเวลานานทำให้ไม่น่าเป็นไปได้อย่างมากที่ Microsoft จะดึงแอพออกมา นักพัฒนาไม่น่าจะใช้เวลาเกินกว่าหกเดือนในการแก้ไขช่องโหว่ที่สำคัญและหากการปรับปรุงใช้เวลานานกว่าที่คาดหมาย Microsoft ยินดีที่จะทำการยกเว้น
เมื่อพิจารณาแล้วนโยบายใหม่ฟังดูเหมือนเป็นวิธีที่ Microsoft จะฟังดูยากโดยไม่ส่งผลกระทบต่อผู้พัฒนา
ข้างหน้ามากขึ้น
นี่จะเป็นเดือนที่ยุ่งสำหรับผู้ดูแลระบบ Adobe เปิดตัวอัปเดตของตัวเองและ Oracle จะเปิดตัวอัพเดตรายไตรมาสของซอฟต์แวร์ทั้งหมดยกเว้น Java ในสัปดาห์หน้า
