Vídeo: Как готовятся к выборам в сёлах (De novembre 2024)
Microsoft va publicar set butlletins que van arreglar 34 errors únics en.NET Framework, el nucli de Windows i Internet Explorer com a part del dimarts de pegats de juliol. També hi ha una nova política de 180 dies per al mercat de Microsoft sobre aplicacions amb errors de seguretat.
Dels set butlletins, sis es consideren crítics i un d’important, segons va dir Microsoft en el seu assessorament de dimarts de patch publicat ahir a la tarda. Microsoft recomanava instal·lar primer el butlletí IE (MS13-055), seguit d’un dels butlletins per als controladors del mode del nucli de Windows (MS13-053). Els butlletins TrueType i Windows restants es trobaven al grup de prioritat següent, seguit de l’únic pegat "important".
"Tot el món bàsic de Microsoft està afectat per un o més d'aquests; cada sistema operatiu suportat, totes les versions de MS Office, Lync, Silverlight, Visual Studio i.NET", va dir Ross Barrett, responsable d'enginyeria de seguretat de Rapid7.
Cap d'aquests butlletins no es veu afectat per Windows 8.1 Preview i IE 11.
Tipus lletjos i lletjos
Tres butlletins separats (MS13-052, MS13-053 i MS13-054) van arreglar la vulnerabilitat del tipus de lletra TrueType a.NET. Aquest error de font TrueType és similar al explotat per Stuxnet i Duqu, tret del fet que està present a.NET i no al nucli de Windows, va dir Marc Maiffret, CTO de BeyondTrust.
MS13-054 va arreglar la vulnerabilitat TrueType a GDI +, un component del nucli de Windows. El defecte afecta diversos productes, incloses totes les versions compatibles de Windows, Office 2003/2007/2010, Visual Studio.NET 2003 i Lync 2010/2013. Maiffret va predir que aquest defecte serà explotat pels atacants en un futur proper perquè tants productes utilitzen GDI +.
"MS13-053 és el pitjor del grup", va dir Tommy Chin, enginyer de suport tècnic de CORE Security, que va afegir "Es tracta d'execució remota de codi i escalada de privilegis tot en un". Els atacants poden enginyar socials víctimes potencials per veure un fitxer elaborat amb contingut TrueType maliciós. Si té èxit, l'atacant obté accés a l'administrador al sistema afectat, va dir Chin.
La vulnerabilitat de zero dies al nucli de Windows descoberta per l’investigador de seguretat Tavis Ormandy també s’arreplega en aquest butlletí. Tenint en compte que les explotacions per a aquesta vulnerabilitat ja s’inclouen en marcs públics com Metasploit, hauria de ser una prioritat elevada
Internet Explorer
L’actualització massiva d’Internet Explorer va abordar 17 defectes, dels quals 16 són vulnerabilitats a la corrupció de la memòria i un error de script de llocs web. Els defectes de corrupció de la memòria es poden utilitzar en atacs discrets on els atacants configuren pàgines web malicioses i utilitzen tàctiques d’enginyeria social per atraure els usuaris a les pàgines malintencionades. Hi ha hagut molts errors de corrupció de la memòria a Internet Explorer durant els últims dimarts de pedaços, va assenyalar Maiffret, que va afegir: "És imprescindible que aquest pegat es desenrotlli tan aviat com sigui possible".
Canvi de política de Microsoft Marketplace
Microsoft també va anunciar un canvi de política relacionat amb el mercat de Microsoft. Sota la nova política, a qualsevol aplicació de qualsevol de les quatre botigues d'aplicacions gestionades per Microsoft (Windows Store, Windows Phone Store, Office Store i Azure Marketplace) se li proporcionarà 180 dies per resoldre problemes de seguretat. La línia de temps s'aplica a vulnerabilitats qualificades com a importants o importants, i que no estan atacades.
Si no s’aporta en aquest termini, l’aplicació s’eliminarà de la botiga, va dir Microsoft. La política s'aplica tant a aplicacions de desenvolupadors de tercers com de Microsoft.
"Microsoft està fent un gran pas per minimitzar les aplicacions vulnerables a les seves diverses botigues d'aplicacions", va dir Craig Young, investigador de seguretat de Tripwire.
Tot i això, val la pena assenyalar que 180 dies és molt llarg, cosa que és molt poc probable que Microsoft acabi tirant d’una aplicació. És probable que un desenvolupador no passi més de sis mesos solucionant una vulnerabilitat crítica i, si l’actualització dura més del previst, Microsoft està disposat a fer excepcions.
Tenint en compte això, la nova política sona com una manera perquè Microsoft pugui sonar dura sense afectar negativament als desenvolupadors.
Més endavant
Serà un mes ocupat pels administradors. Adobe va publicar les seves pròpies actualitzacions i Oracle llançarà la seva actualització trimestral de tot el seu programari, excepte Java la setmana que ve.