Video: CVE 2020 1380, CVE 2020 1464 Microsoft Patch Tuesday, August 2020 Critical Vulnerabilities (November 2024)
Windows-administratörer med vårfeber kan glädjas; Microsoft släppte bara två kritiska bulletiner som en del av sin Patch Tuesday release.
Av de nio bulletiner som släpptes denna månad är bara två utvärderade som kritiska, vilket innebär att en angripare kan få kontroll över den riktade maskinen på distans. Alla kvarvarande värderas som viktiga, vilket betyder att angriparen i allmänhet behöver någon form av åtkomst till systemet innan det tas över. Sammantaget adresserade Microsoft 13 säkerhetsproblem i denna månad.
De goda nyheterna är att de flesta av effekterna är på den äldre kodbasen och inte på de senaste versionerna av Microsoft-produkter, säger Paul Henry, en säkerhetsanalytiker med Lumension. "Om ditt system kör de senaste och bästa programvaruversionerna - som du alltid bör göra, eftersom den nyaste vanligtvis är den mest säkra - bör du påverkas minimalt den här månaden, " sade han.
IE som den högsta prioriteten
Den högsta prioriterade bulletinen denna månad är uppdateringen för Internet Explorer (MS13-028), som fixar ett problem med användning efter-fri i alla versioner av webbläsaren som stöds från IE 6 till IE 10, som, om den utnyttjas, kan resultera i fjärrkontroll kodkörning. Bulletinen behandlade också ett djupgående försvar som beror på att användare som har Java 6.0 eller äldre installerat.
"Med tanke på antalet problem som Java hade haft nyligen har förhoppningsvis ingen fortfarande kör gamla versioner av Java, " varnade Henry.
Prioritetsindexet är bara 2, vilket indikerar att exploateringsuppdateringen inte är enkel så Microsoft förväntar sig inte att se ett fungerande utnyttjande inom de kommande 30 dagarna, enligt Microsofts anmälningsanvisning för Patch Tuesday.
"Angripare kommer att undersöka hur man utnyttjar dessa två sårbarheter, eftersom angripare kan rikta in sig på flera versioner av Internet Explorer genom att bara använda ett par sårbarheter, så det är viktigt att distribuera denna patch så snart som möjligt, " säger Marc Maiffret, CTO av BeyondTrust.
Microsoft har fortfarande inte fixat nolldagars sårbarheten som avslöjades under Pwn2Own-tävlingen på CanSecWest-konferensen i Vancouver förra månaden.
Remote Desktop At Risk, igen
Den andra prioriteringen bör vara korrigeringen för Remote Desktop Client-programvarans ActiveX-kontroll, (MS13-029), som påverkar alla Windows-versioner och "är inte den typ av problem vi vanligtvis ser i Windows RDP, " sade Henry.
Angripare kan utnyttja denna sårbarhet genom att lura offren att besöka webbplatser som är skadliga ActiveX-kontroller. Så snart besökaren landar på webbplatsen skulle koden utnyttja sårbarheten för att få möjligheten att köra godtycklig kod som om det var användaren, konstaterade Maiffret.
"Även om ActiveX-kontroller kan inkluderas i de flesta Windows-program, är den mest troliga attackvektorn via en webbläsare, " säger Wolfgang Kandek, CTO för Qualys.
"Viktigt" men inte "kritiskt"
Säkerhetsexperter flaggade också några andra "viktiga" bulletiner för särskild uppmärksamhet denna månad. Avvisande av servicefel i Active Directory (MS13-032) bör vara "högt på listan för företagsinstallationer", sade Kandek. Attacker kan skicka en skadlig LDAP-fråga som utlöser sårbarheten, vilket skulle uttömma systemets minne och orsaka förnekande av tjänst.
Upphävandet av behörighetsproblem som påverkar Microsoft InfoPath, Groove Server, SharePoint Foundation och Server och "Office Web Apps 2010" (MS13-035) bör också ligga högt på listan eftersom det åtgärdar ett problem i HTML-sanitetskomponenten som finns i dessa paket, sa Ross Barrett, senior chef för säkerhetsteknik på Rapid7. Om de utnyttjas framgångsrikt skulle angriparna kunna utföra skript som normalt inte är tillåtna, läsa begränsade data och utföra obehöriga åtgärder med offrets privilegier.
Även om sårbarheten inte offentliggjordes verkar det som om riktade attacker redan drar nytta av det i naturen.
Microsoft är inte det största problemet
På länge har Microsoft inte varit den främsta källan till IT-huvudvärk. Adobe fixade åtta problem i sin Flash Player idag och IT-administratörer bör stärka sig för den nya Java-uppdateringen, som för närvarande är planerad till 16 april. Oracle förväntas ta itu med ett antal kritiska sårbarheter i denna utgåva.
