Video: Microsoft Edge with Internet Explorer Mode - PRE09 (September 2024)
Microsoft fixade 33 sårbarheter i tio bulletiner i Internet Explorer, Office-applikationer, Windows,.NET-ramverk och Lync som en del av utgivningen av May Patch Tuesday.
Av de tio är endast två bulletiner klassificerade som "kritiska", den högsta svårighetsgraden, sade Microsoft i sin rådgivande anmälan om Patch Tuesday. De återstående lapparna klassificeras som "viktiga", vilket vanligtvis innebär att angripare inte skulle kunna utnyttja bristen utan användarens deltagande.
"Medan tio patchar som täcker 33 sårbarheter kan verka som ett högt antal, är det inte alla dåliga nyheter för IT, " sa Paul Henry, säkerhets- och kriminaltekniker på Lumension.
Fixar för Internet Explorer
Båda kritiska korrigeringarna är för Internet Explorer. Den stora frågan för den här månadens Patch Tuesday var om Microsoft kommer att fixa den nyligen rapporterade nolldagen i Internet Explorer 8. Microsoft släppte en tillfällig lösning förra veckan och följde upp med en fullständig korrigering (MS13-038) idag.
"Det är en lättnad att se att Microsoft har tagit upp detta så snabbt, eftersom det aktivt utnyttjas, " sa Henry.
Den andra IE-korrigeringen (MS13-037) är en kumulativ uppdatering för IE-versionerna 6, 7, 8, 9 och 10 och stänger 11 olika sårbarheter, inklusive de sårbarheter som rapporterades under Pwn2Own-tävlingen redan i mars.
"På en nivå är detta Microsoft på deras bästa säkerhet, " berättade Ross Barrett, senior manager för säkerhetsteknik på Rapid7, till SecurityWatch . Företaget svarade snabbt på att offentliggöra en allmän rådgivande varning om frågan, pressade ut en tillfällig lösning och stängde sedan bristen som en del av en planerad uppdatering, allt inom 11 dagar.
Å andra sidan, det faktum att Microsoft släpper kritiska Internet Explorer-patchar praktiskt taget varje månad belyser vad som är fel med hur Microsoft hanterar korrigeringar och äldre programvara, sa Barrett. Däremot uppdateras Googles Chrome-webbläsare automatiskt när korrigeringar blir tillgängliga, och det finns ingen "gammal version" av webbläsaren att oroa sig för. Microsoft kopplar samman resurser för att underhålla de äldre versionerna och utsätta användarna för risker, sa Barrett.
Andra bulletiner att notera
Den andra anmärkningsvärda bulletinen adresserar ett villkor för att denial-of-service påverkar HTTP-klienten och servern i Windows (MS13-039). Problemet gäller endast nyare versioner av Windows, särskilt Windows Server 2012. Attacker som utnyttjar denna sårbarhet kan "vara mycket störande" eftersom många fjärrtjänster och Active Directory-integrationer förlitar sig på http.sys, sade Barrett.
"Alla IT-säkerhetsgrupper bör hoppa snabbt på detta eftersom en exploit sannolikt kommer att utvecklas mycket snabbt. En framgångsrik exploatering kan orsaka ett DoS på drabbade servrar som skapar tillfälliga avbrott, " säger Lamar Bailey, chef för säkerhetsforskning och utveckling på Tripwire.
Microsoft adresserade sårbarheter i olika Office-produkter, till exempel exekveringsfel för fjärrkod i Microsoft Lync - tidigare Communicator- (MS13-041) och 11 minneskorruptionsproblem i Publisher (MS13-042), och buggar i Microsoft Word och Excel (MS13- 042). Lync-sårbarheten kan bara utnyttjas om två användare i en Lync-session delar skadligt innehåll. "Förhoppningsvis har ingen av dina användare Lync-konversationer med någon som försöker attackera dina system, i vilket fall du borde vara okej, " sa Henry.
Felmeddelandets sårbarhet och autentiseringsomgång i.NET (MS13-040) påverkar inte standardkonfigurationen. En annan bulletin behandlade sårbarheter för informationsutlämnande i Windows Essentials 2012 (MS13-045). Microsoft fixade också tre lokala höjningar av privilegierna i Windows Kernel-lägesdrivrutiner (MS13-046). De svåraste av buggarna påverkar Windows XP och gör det möjligt för angripare att köra processer i ett förhöjt sammanhang.
"Se till att korrigera Internet Explorer (MS13-037 och MS13-038) så snart som möjligt, tillsammans med MS13-039 på webbserverade webbservrar, följt av resten av lapparna, " säger Marc Maiffret, CTO för BeyondTrust.
