Friendoffriends
Je to ten čas měsíce, kdy Microsoft vydal Patch Tuesday zaměřený na opravu zranitelností. Patch Tuesday z minulého měsíce představoval uživatelům nějaké problémy, protože stále způsobovali chyby a byli „napůl upečení“. Toto je osmé Patch Tuesday v roce a přichází s osmi novými bezpečnostními bulletiny (shodou okolností?), Přičemž pouze tři jsou hodnoceny jako „kritické“ a pět jako „důležité“.
Osm bulletinů zabezpečení vydaných společností Microsoft řešit 23 zranitelností z Windows, Internet Explorer a Exchange. Nejdůležitějšími opravami podle doporučení společnosti Microsoft jsou MS13-059 (Internet Explorer) a MS13-060 (Windows XP a Server 2003.). Po použití těchto oprav první priority byste měli opravit veškerý další software od společnosti Microsoft, který používáte, abyste se ujistili, že máte špičkové zabezpečení
V Patch Tuesday bylo nalezeno 23 chyb zabezpečení
Bulletin zabezpečení MS13-059 je důležitá aktualizace zabezpečení pro aplikaci Internet Explorer, která pokrývá 11 soukromě zveřejněných chyb zabezpečení. Nevíme, zda byly široce používány nebo zda byly těžce využívány hackery.
Nejzávažnější chyby zabezpečení by mohly umožnit vzdálené spuštění kódu, pokud si uživatel prohlíží speciálně vytvořenou webovou stránku pomocí aplikace Internet Explorer. Útočník, který úspěšně zneužije nejzávažnější z těchto chyb zabezpečení, může získat stejná uživatelská práva jako aktuální uživatel.
Bulletin zabezpečení MS13-060 opravuje chybu zabezpečení nalezenou procesorem Unicode Script od Microsoft Exchange Server, který umožňuje hackerům vykreslování písma jako vektor útoku. ČTÚ Qualys Wolfgang Kandek vysvětlil:
Písma jsou kreslena na úrovni jádra, takže pokud můžete nějak ovlivnit kresbu písem a přetéct ji. To by poskytlo útočníkovi kontrolu nad počítačem oběti.
Amol Sarwate, ředitelka laboratoří zranitelnosti Qualys:
Je to velmi lákavý útočný vektor. Útočník by musel zneužít tuto chybu zabezpečení pouze k nasměrování oběti na dokument, e-mail nebo škodlivou webovou stránku..
Kromě výše uvedeného je zde několik dalších vrcholů a „dobrot“ z Patch Tuesday z tohoto měsíce a popis ostatních bezpečnostních bulletinů:
- MS13-061 - zranitelnost Oracle knihovny „Outside In“
- MS13-062 - chyba zabezpečení ovlivňující kód zpracování RPC ve všech verzích systému Windows
- MS13-063 - obejít ASLR (Randomizace rozložení adresového prostoru) a 3 chyby zabezpečení týkající se poškození jádra, aby bylo možné zvýšit oprávnění
- MS13-064 - Jediná chyba zabezpečení typu odmítnutí služby v ovladači NAT pro Windows Server 2012
- MS13-065 - jediné ohrožení zabezpečení v protokolu IPv6 ve všech verzích systému Windows s výjimkou XP a Server 2003
- MS13-066 - zranitelnost zpřístupnění informací ve službě Active Directory Federation Services (AD FS) ve všech verzích systému Windows Server založených na procesorech Intel jiných než Server Core.
Kromě toho společnost Microsoft také aktualizovala systémy Windows 8 a RT „za účelem zlepšení funkce ochrany v programu Windows Defender“.
- Microsoft
