Vídeo: Child of the 90s | Internet Explorer (Setembre 2024)
Microsoft va anunciar vuit butlletins per al llançament del dimarts de Patch de novembre, que aborda 19 vulnerabilitats úniques en el programari Microsoft, inclosos Internet Explorer, Hyper-V, la Interfície de dispositius gràfics (GDI), Office i altres. També s’ha solucionat la vulnerabilitat del dia zero a Internet Explorer divulgada per FireEye durant el cap de setmana.
Dels avisos, els tres pedaços més crítics són el pegat Interent Explorer (MS13-088), GDI (MS13-089) i el defecte del dia zero en el control ActiveX que va afectar diverses versions d'Internet Explorer (MS13-090), la seguretat. van dir els experts.
"El butlletí MS13-090 tracta el problema conegut públicament en ActiveX Control, actualment en atacs dirigits. Els clients amb actualitzacions automàtiques activades estan protegits contra aquesta vulnerabilitat i no necessiten accions", va dir Dustin Childs, gerent de grup de Microsoft Trustworthy Computing..
Estat dels dies zero
L’equip de seguretat de Microsoft ha tingut uns dies ocupats. La setmana passada, l’empresa de seguretat FireEye va notificar a Microsoft de greus vulnerabilitats a Internet Explorer, però sembla que l’equip ja coneixia d’elles ja que el pegat de control ActiveX (MS13-090) soluciona el defecte InformationCardSignInHelper. Els atacants ja han apuntat l'error en un atac a l'estil de regar i aquest matí el codi d'explotació ha aparegut al lloc de text de compartir Pastebin, cosa que ha convertit en un problema prioritari.
"És extremadament important tirar aquest pegat tan aviat com sigui possible", va dir Marc Maiffret, CTO de BeyondTrust.
Microsoft també va revelar una vulnerabilitat del dia zero en com algunes versions de Microsoft Windows i versions anteriors de Microsoft Office van gestionar el format gràfic TIFF. No hi ha cap pedaç disponible per solucionar aquest defecte en aquesta versió del Patch Tuesday, per la qual cosa els usuaris que encara no hagin instal·lat la solució temporal FixIt haurien de plantejar-ho tan aviat com sigui possible.
"Els sistemes de risc i alt valor haurien de tenir mitigacions ja", va dir Ross Barrett, responsable de l'enginyeria de seguretat de Rapid7.
Els pedaços d’alta prioritat
Un altre pedaç d’IE (MS13-088) va arreglar dos errors de divulgació d’informació i vuit problemes de corrupció de la memòria en diverses versions del navegador web. Dues de les vulnerabilitats afecten totes les versions d’IE, des de les versions 6 a 11, la versió més recent. Tot i que encara no s’han notificat atacs que exploten aquestes vulnerabilitats, el fet que tantes versions de Windows i Internet Explorer estiguin afectades significa que aquest pegat s’hauria de desplegar al més aviat possible.
Maffret, va dir que els atacants podrien explotar aquests defectes creant una pàgina web malintencionada i convencent als usuaris que vegin la pàgina per desencadenar un atac de descàrrega.
El tercer butlletí de màxima prioritat (MS13-089) soluciona un error GDI, que afecta totes les versions suportades de Windows des de XP a Windows 8.1. Com que els atacants necessiten crear un fitxer maliciós i convèncer els usuaris perquè l’obrin en WordPad per explotar aquesta vulnerabilitat, aquest no és un simple escenari de navegació i obtenció de propietat, va advertir Maiffret. Tot i això, "encara és potent, a causa que afecta a totes les versions de Windows compatibles", va dir.
L'atacant rebrà el mateix nivell de privilegi que l'aplicació en execució que utilitzava la interfície GDI.
Patges senzills
Diversos experts van anomenar aquest dimarts el Patch Tuesday "directament" perquè les solucions es van centrar en Windows, Internet Explorer i alguns components d'Office. Va dir "Barot", no va ser "res esotèric ni difícil de pegar", com ara els complements de SharePoint o el marc.NET. Els pegats restants van abordar vulnerabilitats en diverses versions de Microsoft Office (MS13-091), una vulnerabilitat de divulgació d'informació en versions més recents d'Office (MS13-094), un defecte de privilegi en Hyper-V (MS13-092) a Windows 8 i Server 2012 R2, un error de divulgació d'informació a Windows (MS13-093) i un problema de denegació de servei (MS13-095) al sistema operatiu.
"En general, tot i que només és un Patch de mida mitjana dimarts, presta una atenció especial als dos dies de 0 dies i a l'actualització d'Internet Explorer. Els navegadors continuen sent l'objectiu predilecte dels atacants i Internet Explorer, amb la seva quota de mercat líder, és una dels objectius més visibles i probables ", va dir Wolfgang Kandek, CTO de Qualys.
