Video: Microsoft Flight Simulator - Обновление 7 - США (September 2024)
Igår utfärdade Microsoft 13 säkerhetsbulletiner som täckte cirka 47 buggar i en något större än vanligt patch tisdag. Bland dessa var fyra listade som kritiska och resten markerade som viktiga. Gör dig redo att uppdatera!
Intressant nog tillkännagavs en fjortonde uppdatering avseende en fråga om förnekande av tjänst i.NET förra veckan men har hållits tillbaka för ytterligare tester. Kanske vill Microsoft undvika en del av förvirringen från förra månadens patch tisdag, där en uppdatering måste dras efter utgivningen.
Internet Explorer och social teknik
Microsoft adresserade tio sårbarheter med en kumulativ uppdatering till Internet Explorer, som påverkar versionerna sex till 10. Detta innebär att nästan alla kommer att beröras av dessa ändringar, vilket är bäst eftersom några av dessa buggar tillät exekvering av fjärrkod.
"De mest allvarliga sårbarheterna kan tillåta exekvering av kodkod om en användare ser en speciellt utformad webbsida med Internet Explorer, " skrev Microsoft. "En angripare som lyckades utnyttja de allvarligaste av dessa sårbarheter kan få samma användarrättigheter som den nuvarande användaren." Detta är ett annat stort argument för att aldrig använda ett konto med privata administratörer för det dagliga arbetet.
Microsoft Word och Excel kommer att se uppdateringar som adresserar ett filformatssårbarhet, där en speciellt utformad Office-fil kan användas för att köra kod på offrets dator. "Microsoft bedömer endast dessa sårbarheter som 'viktiga' eftersom de kräver att målet ska samarbeta, " skriver Qualys CTO Wolfgang Kandek. "Men angriparna har bevisat gång på gång att de har de nödvändiga socialtekniska teknikerna för att lätt övervinna detta hinder."
Faktum är att rapporterna vi sett har placerat social teknik i toppen av de stora hoten mot användarna, liksom besläktade filer som de som adresseras med dessa Office-uppdateringar. Dessa filer är oerhört farliga eftersom de ser legitima ut, och vi har sett hur de har använts till stor effekt i avancerade bestående hotattacker.
Outlook och andra
De populära versionerna 2007 och 2010 av Microsoft Outlook korrigerades också denna månad och fixade en särskilt otäck sårbarhet. "En angripare kan utnyttja algoritmen för att analysera certifikatet genom att skriva under ett e-postmeddelande och häcka över 256 certifikat i signaturen, " förklarade Kandek. "Attacken orsakar ett buffertöverskridning, även om det bara visualiseras i Outlook: s förhandsgranskningsfönster."
Även om Microsoft säger att utsiktsattacken är svår att dra ut, är det farligt eftersom offret inte behöver göra något för att attacken ska lyckas.
Utöver dessa släppte Microsoft kritiska patchar för Sharepoint 2003, 2007, 2010 och 2013, samt Microsoft Visio. Patcherna märkta viktiga omslag OLE, Windows temafiler, Microsoft Access, Office IME kinesiska, Kernal-läge drivrutiner, Windows Service Control Manager, FrontPage och Active Directory.
Bild via Flickr-användaren Dan Dickinson
