Casa Vigilant de seguretat Oracle s'uneix a Adobe, Microsoft, al dimarts de gener de pegats gegants

Oracle s'uneix a Adobe, Microsoft, al dimarts de gener de pegats gegants

Vídeo: Загрузка и установка СУБД ORACLE / Илья Хохлов (De novembre 2024)

Vídeo: Загрузка и установка СУБД ORACLE / Илья Хохлов (De novembre 2024)
Anonim

Es tracta d’una trifecta de pegats de programari, amb Microsoft, Adobe i Oracle que publiquen actualitzacions de seguretat el mateix dia.

Com era d'esperar, Microsoft va començar el 2014 amb un llançament de dimarts Patch bastant lleuger, que va solucionar sis vulnerabilitats no tan importants en quatre butlletins de seguretat. El mateix dia, Adobe va publicar dues actualitzacions crítiques que van solucionar tres defectes crítics d'execució de codi remot a Adobe Reader, Acrobat i Flash. Una intervenció de programació significava que l’actualització trimestral de l’Orcle Critical trimestral d’Oracle també va caure el mateix dimarts, cosa que va suposar un gran volum de pedaços per part dels administradors de TI. Oracle va solucionar 144 vulnerabilitats en 40 productes, inclosos Java, MySQL, VirtualBox i la seva base de dades Oracle insígnia.

"Si bé Microsoft només publica quatre actualitzacions, hi ha molta feina per als administradors de TI a causa de les publicacions d'Adobe i Oracle", va dir Wolfgang Kandek, CTO de Qualys.

Els pegats Java d’Oracle haurien de ser la màxima prioritat, seguits dels consells Adobe Reader i Flash, i després de les actualitzacions de Microsoft Word i XP, van dir els experts.

Oracle es basa en Java

Fins i tot tenint en compte que l’Oracle remet trimestralment i està solucionant més productes, aquesta CPU segueix sent un interruptor de rècord en el nombre de problemes solucionats. Dels 144 defectes de seguretat, 82 es podrien considerar crítics, ja que es poden explotar de forma remota sense autenticació.

La majoria de les vulnerabilitats abordades a la CPU gargantuan d'Oracle es trobaven a Java v7. Oracle va solucionar 34 defectes d’execució remota, amb diversos 10 de puntuació a l’escala del sistema de puntuació comú de vulnerabilitat. CVSS indica la gravetat del defecte i la probabilitat que l'atacant guanyi un control total del sistema.

Java va ser un dels programes més atacats el 2013 i els experts van advertir que continuarà sent un objectiu popular. Si no l’utilitzeu, desinstal·leu-lo. Si necessiteu tenir instal·lada Java, almenys desactiveu-la al navegador web, ja que tots els atacs fins ara han atacat el navegador. Si accediu a aplicacions web que requereixen Java, conserveu-lo en un navegador web diferent al de predeterminat i canvieu quan sigui necessari. Si no ho necessiteu, no el guardeu. Si ho guardeu, pegueu immediatament.

Oracle també va arreglar cinc defectes de seguretat a la seva pròpia base de dades Oracle, un dels quals es pot explotar de forma remota i 18 vulnerabilitats a MySQL. Tres d'aquests errors podrien ser atacats de forma remota i tenien la puntuació màxima de CVSS de 10. El programari del servidor Solaris tenia 11 defectes, inclòs un que podria ser atacat de forma remota. L’error Solaris més greu tenia una puntuació CVSS de 7, 2. La CPU va abordar nou problemes al programari de virtualització d'Oracle, que inclou el programari de virtualització VirtualBox, dels quals quatre es podrien activar de forma remota. La puntuació màxima de CVSS va ser de 6, 2.

Si teniu cap d'aquests productes, és important actualitzar-los immediatament. MySQL s’utilitza àmpliament com a sistema de fons per a diversos programes de fòrum CMS i fòrum més populars, inclosos WordPress i phpBB.

Correccions de lector i de flaix

Adobe va solucionar problemes de seguretat a Adobe Flash, Acrobat i Reader, que si s’utilitzessin, donarien als atacants un control total del sistema objectiu. El vector d'atac del error Acrobat and Reader era un fitxer PDF malintencionat. El defecte de Flash es podria explotar visitant pàgines web malicioses o obrint documents amb objectes Flash incrustats.

Si heu activat les actualitzacions de fons per als productes d'Adobe, les actualitzacions haurien de ser perfectes. Els usuaris amb Google Chrome i Internet Explorer 10 i 11 no hauran de preocupar-se per la nova versió de Flash, ja que els navegadors actualitzaran el programari automàticament.

Actualització de Microsoft lleugera

Microsoft va arreglar una vulnerabilitat en format de fitxer a Microsoft Word (MS14-001) que es pot explotar de forma remota si l’usuari obre un fitxer Word atrapat. Afecta totes les versions de Microsoft Word a Windows, inclosos Office 2003, 2007, 2010 i 2013, així com als visualitzadors de documents de Word. Els usuaris de Mac OS X no es veuen afectats.

La vulnerabilitat de zero dies (CVE-2013-5065) que afecta els sistemes Windows XP i Server 2003 que es va descobrir en estat salvatge el novembre passat finalment ha estat pegada (MS14-002). Tot i que el defecte d’escalada de privilegis a NDProxy no es pot executar de forma remota, hauria de ser d’alta prioritat perquè es pot combinar amb altres vulnerabilitats. Els atacs de novembre van utilitzar un document PDF maliciós per a desencadenar un defecte en Adobe Reader (que es va enganxar el maig de 2013 a APSB13-15) per accedir a l'error del nucli de Windows. Microsoft va solucionar un defecte d’escalació de privilegis semblant a Windows 7 i Server 2008 (MS14-003).

"Si us preocupa el 002 i no el 003, és probable que tingueu problemes a l'abril quan finalitzi el suport per a Windows XP", va dir Rapid7.

Pot ser que aquestes vulnerabilitats no siguin crítiques, però combinades poden ser molt més greus, va advertir Trustwave. Si una campanya que utilitza un document d'Office malintencionat va executar un codi dirigit a l'error de privilegi, "un missatge de correu electrònic de phishing a un usuari infeliç seria tot el necessari", va dir l'equip.

Oracle s'uneix a Adobe, Microsoft, al dimarts de gener de pegats gegants