Microsoft นำออก 23 ข้อบกพร่องในวันอังคารที่แพทช์

บ่ายนี้ไมโครซอฟท์เปิดตัวบูเลทีนการรักษาความปลอดภัยแปดช่องโหว่ซึ่งจัดการกับช่องโหว่ 23 ช่องทางจากบริการต่างๆเช่น Windows, Internet Explorer และ Exchange ในบรรดาสิ่งเหล่านี้สามอันดับที่มีความสำคัญมากที่สุดในขณะที่ส่วนที่เหลือถูกระบุว่าสำคัญ

สำหรับผู้ใช้ที่ต้องการจัดลำดับความสำคัญการปะแก้ Microsoft แนะนำให้เน้นที่ MS13-059 และ MS13-060 ที่กล่าวว่าคุณควรแก้ไขทุกอย่างทันทีที่คุณสามารถทำได้

การโจมตีแบบอักษรและช่องโหว่ IE

Bulletin 059 เป็นโปรแกรมปรับปรุงความปลอดภัยที่สะสมสำหรับ Internet Explorer ซึ่งครอบคลุม 11 ช่องโหว่ที่เปิดเผยโดยเอกชน "ช่องโหว่ที่รุนแรงที่สุดอาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกลหากผู้ใช้ดูเว็บเพจที่สร้างขึ้นเป็นพิเศษโดยใช้ Internet Explorer" Microsoft เขียน "ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ที่ร้ายแรงที่สุดเหล่านี้สามารถได้รับสิทธิ์ผู้ใช้เช่นเดียวกับผู้ใช้ปัจจุบัน"

Marc Maiffret, CTO ที่ BeyondTrust อธิบายว่า: "เพียงอย่างเดียวช่องโหว่นี้ไม่อนุญาตให้มีการเรียกใช้รหัส

การอัปเดต IE ก็มีชื่อเสียงเช่นกันสำหรับการรวมการแก้ไขช่องโหว่ที่ VUPEN Security ใช้ในการแข่งขัน pwn2own 2013 ดู? การแข่งขันทั้งหมดนั้นเป็นการตอบแทน

Bulletin 060 เกี่ยวข้องกับช่องโหว่ในตัวประมวลผล Unicode Script โดยทั่วไปแล้วผู้โจมตีสามารถใช้การแสดงผลแบบอักษรเป็นเวกเตอร์การโจมตีได้ เราเห็นปัญหาที่คล้ายกันในการอัปเดต Patch Tuesday ของเดือนที่แล้ว

Qualys CTO Wolfgang Kandek อธิบายกับ SecurityWatch ว่า "ฟอนต์ถูกวาดในระดับเคอร์เนลดังนั้นหากคุณสามารถมีอิทธิพลต่อการวาดแบบอักษรและล้นมัน" Kandek พูดอย่างนี้จะให้ผู้โจมตีควบคุมคอมพิวเตอร์ของเหยื่อ

แม้ว่าจะ จำกัด อยู่ที่ตัวอักษร Bangali ใน Windows XP แต่ช่องโหว่นี้ไม่น่าเป็นไปได้โดยเฉพาะอย่างยิ่งเนื่องจากมีช่องทางต่าง ๆ มากมายสำหรับการโจมตีหากมี “ มันเป็นเวกเตอร์การโจมตีที่น่าหลงใหลมาก” Amol Sarwate ผู้อำนวยการ Qualys Vulnerability Labs กล่าว ผู้โจมตีทั้งหมดจะต้องทำคือส่งเหยื่อไปที่เอกสารอีเมลหรือเว็บเพจที่เป็นอันตรายเพื่อหาช่องโหว่

ช่องโหว่การแลกเปลี่ยนที่สำคัญ

กระดานข่าวสำคัญลำดับที่สามเกี่ยวข้องกับการเรียกใช้รหัสระยะไกลบนเซิร์ฟเวอร์ Microsoft Exchange Kandek บอก SecurityWatch ว่าผู้โจมตีสามารถโจมตีช่องโหว่ทั้งสามนี้ด้วยไฟล์ PDF ที่สร้างขึ้นเป็นพิเศษซึ่งเมื่อดูแล้วไม่ได้ดาวน์โหลดจะถูกโจมตีจากเซิร์ฟเวอร์อีเมลของเหยื่อ

ก่อนหน้านี้ช่องโหว่เหล่านี้ถูกเปิดเผยโดย Oracle ซึ่งทำให้องค์ประกอบที่ได้รับผลกระทบ โชคดีที่ยังไม่มีการประหารชีวิตในป่า แต่ประเด็นที่คล้ายกันนี้ได้รับการแก้ไขซ้ำแล้วซ้ำเล่าในอดีต Maiffret เขียนว่าช่องโหว่สองช่องนั้นคือ "ภายในฟีเจอร์ดูเอกสาร WebReady ซึ่งเราได้เห็นการแก้ไขหลายครั้งในปีที่ผ่านมา (MS12-058, MS12-080 และ MS13-012) Oracle ยังคงให้ Microsoft และ Exchange ตาดำที่สม่ำเสมอ "

Kandek กล่าวว่า "เป็นเรื่องง่ายมากที่จะพบช่องโหว่ในส่วนประกอบซอฟต์แวร์นี้" และผู้ใช้ควรพิจารณาปิดคุณสมบัตินี้นอกเหนือจากการแก้ไขซอฟต์แวร์ การทำเช่นนั้นจะบังคับให้ผู้ใช้ดาวน์โหลดไฟล์แนบเมลเพื่อดูไฟล์เหล่านี้ซึ่งอาจมีค่าใช้จ่ายเล็กน้อยในการรักษาความปลอดภัย

มีสินค้าอีกสองสามอย่างในรายการแก้ไขของเดือนนี้รวมถึงช่องโหว่ IPv6 และสิทธิพิเศษการปฏิเสธการบริการและช่องโหว่การเปิดเผยข้อมูล ในขณะที่ทุกคนได้รับการแก้ไขเราจะเตรียมพร้อมสำหรับการปราบข้อผิดพลาดรอบเดือนถัดไป