ออราเคิลจับมือ adobe ไมโครซอฟท์ในวันอังคารที่ผ่านมา

นี่เป็นแพตช์ซอฟต์แวร์สามอย่างที่มี Microsoft, Adobe และ Oracle ทั้งหมดที่ปล่อยการปรับปรุงความปลอดภัยในวันเดียวกัน

ตามที่คาดไว้ Microsoft เริ่มต้นใช้งาน 2014 ด้วยการปล่อย Patch Patch เมื่อวันอังคารที่ค่อนข้างเบาแก้ไขช่องโหว่ที่ไม่น่าสนใจหกช่องสำหรับกระดานข่าวความปลอดภัยสี่รายการ ในวันเดียวกันนั้น Adobe ออกการปรับปรุงที่สำคัญสองข้อซึ่งแก้ไขข้อบกพร่องการเรียกใช้โค้ดระยะไกลที่สำคัญสามข้อใน Adobe Reader, Acrobat และ Flash การจัดตารางเวลาหมายถึงการอัพเดท Critical Patch รายไตรมาสของออราเคิลก็ลดลงเช่นเดียวกันในวันอังคารเดียวกันส่งผลให้มีแพตช์จำนวนมากสำหรับผู้ดูแลระบบไอทีในการจัดการ ออราเคิลแก้ไขช่องโหว่จำนวน 144 ช่องโหว่ใน 40 ผลิตภัณฑ์รวมถึง Java, MySQL, VirtualBox และฐานข้อมูล Oracle ที่สำคัญ

“ ในขณะที่ไมโครซอฟท์เปิดตัวการอัพเดทสี่ครั้งเท่านั้นมีงานมากมายสำหรับผู้ดูแลระบบไอทีเนื่องจาก Adobe และ Oracle ออกวางจำหน่าย "Wolfgang Kandek, CTO ของ Qualys กล่าว

ผู้เชี่ยวชาญจาก Oracle ควรได้รับการจัดลำดับความสำคัญสูงสุดตามด้วย Adobe Reader และ Flash advisories จากนั้นจะทำการอัพเดต Microsoft Word และ XP ผู้เชี่ยวชาญกล่าว

Oracle Takes บน Java

แม้จะคำนึงถึงว่า Oracle มีการแก้ไขทุกไตรมาสและกำลังแก้ไขผลิตภัณฑ์มากขึ้น CPU นี้ยังคงเป็นตัวทำลายสถิติในจำนวนของปัญหาที่ได้รับการแก้ไข จากข้อบกพร่องด้านความปลอดภัย 144 ข้อ 82 อาจถูกพิจารณาว่ามีความสำคัญเนื่องจากอาจถูกโจมตีจากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์

ช่องโหว่ส่วนใหญ่ที่อยู่ใน CPU ระดับสูงของ Oracle นั้นอยู่ใน Java v7 Oracle แก้ไขข้อบกพร่องในการดำเนินการจากระยะไกล 34 จุดด้วยคะแนน 10 หลายคะแนนในระดับความเสี่ยงระบบการให้คะแนนทั่วไป CVSS บ่งบอกถึงความร้ายแรงของข้อบกพร่องและโอกาสที่ผู้โจมตีจะได้รับการควบคุมโดยรวมของระบบ

Java เป็นหนึ่งในซอฟต์แวร์ที่ถูกโจมตีมากที่สุดในปี 2013 และผู้เชี่ยวชาญเตือนว่ามันจะยังคงเป็นเป้าหมายที่ได้รับความนิยม หากคุณไม่ได้ใช้งานให้ถอนการติดตั้ง หากคุณจำเป็นต้องมีการติดตั้ง Java อย่างน้อยก็ปิดการใช้งานในเว็บเบราว์เซอร์เนื่องจากการโจมตีทั้งหมดที่ได้โจมตีเบราว์เซอร์ หากคุณเข้าถึงเว็บแอปพลิเคชันที่ต้องใช้ Java ให้เก็บไว้ในเว็บเบราว์เซอร์ที่แตกต่างจากแอพพลิเคชั่นเริ่มต้นของคุณ หากคุณไม่ต้องการมันอย่าเก็บไว้ หากคุณเก็บไว้ให้แก้ไขทันที

Oracle ยังแก้ไขข้อบกพร่องด้านความปลอดภัยห้าข้อในฐานข้อมูล Oracle ของตนเองซึ่งหนึ่งในนั้นสามารถถูกโจมตีจากระยะไกลและช่องโหว่ 18 ช่องใน MySQL สามข้อบกพร่องเหล่านี้สามารถถูกโจมตีจากระยะไกลและมีคะแนนสูงสุด CVSS จาก 10 ซอฟต์แวร์เซิร์ฟเวอร์ Solaris มีข้อบกพร่อง 11 ข้อรวมถึงข้อผิดพลาดที่สามารถถูกโจมตีจากระยะไกล ข้อผิดพลาด Solaris ที่ร้ายแรงที่สุดมีคะแนน CVSS 7.2 ซีพียูกล่าวถึงเก้าประเด็นใน Oracle Virtualization Software ซึ่งรวมถึงซอฟต์แวร์การจำลองเสมือน VirtualBox ซึ่งสามารถเรียกใช้จากระยะไกลได้สี่แบบ คะแนนสูงสุดของ CVSS คือ 6.2

หากคุณใช้ผลิตภัณฑ์ใด ๆ เหล่านี้เป็นสิ่งสำคัญที่จะอัปเดตทันที MySQL ใช้กันอย่างแพร่หลายเป็นระบบแบ็คเอนด์สำหรับ CMS และฟอรัมซอฟต์แวร์ยอดนิยมจำนวนหนึ่งรวมถึง WordPress และ phpBB

แก้ไข Reader และ Flash

Adobe แก้ไขปัญหาความปลอดภัยใน Adobe Flash, Acrobat และ Reader ซึ่งหากถูกโจมตีจะทำให้ผู้โจมตีสามารถควบคุมระบบเป้าหมายทั้งหมดได้ เวกเตอร์การโจมตีสำหรับข้อผิดพลาด Acrobat และ Reader เป็นไฟล์ PDF ที่เป็นอันตราย ข้อบกพร่องของ Flash อาจถูกโจมตีโดยการเข้าไปที่เว็บเพจที่เป็นอันตรายหรือเปิดเอกสารที่มีวัตถุ Flash ฝังอยู่

หากคุณเปิดการอัปเดตเบื้องหลังสำหรับผลิตภัณฑ์ Adobe การอัปเดตควรจะราบรื่น ผู้ใช้ที่ใช้ Google Chrome และ Internet Explorer 10 และ 11 จะไม่ต้องกังวลกับ Flash เวอร์ชั่นใหม่เนื่องจากเบราว์เซอร์จะอัปเดตซอฟต์แวร์โดยอัตโนมัติ

Light Microsoft Update

Microsoft แก้ไขช่องโหว่รูปแบบไฟล์ใน Microsoft Word (MS14-001) ที่สามารถใช้ประโยชน์จากระยะไกลได้หากผู้ใช้เปิดไฟล์ Word ที่ติดอยู่แบบ booby มันมีผลต่อเวอร์ชัน Microsoft Word ทั้งหมดบน Windows รวมถึง Office 2003, 2007, 2010 และ 2013 รวมถึงโปรแกรมอ่านเอกสาร Word ผู้ใช้ Mac OS X จะไม่ได้รับผลกระทบ

ช่องโหว่แบบ zero-day (CVE-2013-5065) ที่ส่งผลต่อระบบ Windows XP และ Server 2003 ที่ถูกค้นพบในช่วงเดือนพฤศจิกายนปีที่แล้วได้รับการแก้ไขแล้ว (MS14-002) แม้ว่าข้อบกพร่องของการเพิ่มระดับสิทธิ์ใน NDProxy ไม่สามารถดำเนินการจากระยะไกลได้ แต่ควรมีความสำคัญสูงเนื่องจากสามารถใช้ร่วมกับช่องโหว่อื่น ๆ ได้ การโจมตีในเดือนพฤศจิกายนใช้เอกสาร PDF ที่เป็นอันตรายเพื่อเรียกข้อบกพร่องครั้งแรกใน Adobe Reader (ซึ่งได้รับการแก้ไขในเดือนพฤษภาคม 2556 ใน APSB13-15) เพื่อเข้าถึงข้อผิดพลาดเคอร์เนลของ Windows Microsoft แก้ไขข้อบกพร่องการเลื่อนระดับสิทธิ์ที่คล้ายกันใน Windows 7 และ Server 2008 (MS14-003)

“ หากคุณกังวลเกี่ยวกับ 002 และไม่ใช่ 003 คุณอาจมีปัญหาบางอย่างเกิดขึ้นในเดือนเมษายนเมื่อการสนับสนุน Windows XP สิ้นสุดลง” Rapid7 กล่าว

Trustwave เตือนด้วยตนเองว่าช่องโหว่เหล่านี้อาจไม่สำคัญ แต่เมื่อรวมกันแล้วช่องโหว่เหล่านี้อาจร้ายแรงกว่าเดิม หากแคมเปญที่ใช้เอกสาร Office ที่เป็นอันตรายเรียกใช้รหัสซึ่งกำหนดเป้าหมายข้อผิดพลาดในการยกระดับสิทธิ์ "ดังนั้นอีเมลฟิชชิ่งที่ส่งถึงผู้ใช้ที่ไม่สงสัยจะเป็นสิ่งที่จำเป็น" ทีมกล่าว