Video: November Patch Tuesday - Pay attention to CVE-2020-17051(CVSS Base Score 9.8) (September 2024)
Microsoft tillkännagav åtta bulletiner för utgivningen av Patch Tuesday på november, och behandlar 19 unika sårbarheter i Microsofts programvara, inklusive Internet Explorer, Hyper-V, Graphics Device Interface (GDI), Office och andra. Nolldagars sårbarheten i Internet Explorer som avslöjats av FireEye under helgen har också rättats.
Av rådgivningarna är de tre mest kritiska korrigeringarna Interent Explorer-patch (MS13-088), GDI (MS13-089) och nolldagars fel i ActiveX-kontroll som påverkade flera versioner av Internet Explorer (MS13-090), säkerhet sa experter.
"Bulletin MS13-090 behandlar det offentligt kända problemet i ActiveX Control, för närvarande under riktade attacker. Kunder med automatiska uppdateringar aktiverade är skyddade mot denna sårbarhet och behöver inte vidta några åtgärder, " säger Dustin Childs, gruppchef för Microsoft Trustworthy Computing.
Status för nolldagar
Microsofts säkerhetsteam har haft en upptagen dag. Förra veckan meddelade säkerhetsföretaget FireEye Microsoft om allvarliga sårbarheter i Internet Explorer, men det verkar som teamet redan visste om dem eftersom ActiveX-kontrollfixen (MS13-090) fixar felet InformationCardSignInHelper. Angripare har redan riktat sig mot felet i en attack med vattningshål-stil, och exploateringskoden dök upp på textdelningswebbplatsen Pastebin i morse, vilket gör detta till ett högt prioriterat problem.
"Det är oerhört viktigt att rulla ut denna patch så snart som möjligt", säger Marc Maiffret, CTO för BeyondTrust.
Microsoft avslöjade också en nolldagars sårbarhet i hur vissa versioner av Microsoft Windows och äldre versioner av Microsoft Office hanterade TIFF-grafikformatet. Det finns inget patch tillgängligt för att åtgärda denna brist i denna version av Patch Tuesday, så användare som ännu inte har installerat FixIt tillfällig lösning bör överväga att göra det så snart som möjligt.
"System med risk och högt värde bör redan ha begränsningar på plats", säger Ross Barrett, senior chef för säkerhetsteknik på Rapid7.
Fläckar med hög prioritet
En annan IE-lapp (MS13-088) fixade två informationsavsändningsbugs och åtta problem med minneskorruption i olika versioner av webbläsaren. Två av sårbarheterna påverkar varje version av IE, från version 6 till 11, den senaste versionen. Även om attacker som utnyttjar dessa sårbarheter ännu inte har rapporterats, betyder det faktum att så många versioner av Windows och Internet Explorer påverkas att den här korrigeringen bör rullas ut så snart som möjligt.
Angripare kan utnyttja dessa brister genom att skapa en skadlig webbsida och övertyga användare om att se sidan för att utlösa en attack för nedladdning, sa Maiffret.
Den tredje högsta prioriterade bulletin (MS13-089) fixar ett GDI-fel som påverkar alla versioner av Windows från XP till Windows 8.1 som stöds. Eftersom angripare måste skapa en skadlig fil och övertyga användare att öppna den i WordPad för att utnyttja denna sårbarhet, är detta inte ett enkelt bläddra-och-få-ägda scenario, varnade Maiffret. Men det är "fortfarande potent, på grund av att det påverkar alla versioner av Windows som stöds, " sade han.
Angriparen skulle få samma privilegieringsnivå som det körande programmet som använde GDI-gränssnittet.
Enkla fläckar
Flera experter kallade den här månadens Patch Tuesday "rakt fram" eftersom korrigeringarna fokuserade på Windows, Internet Explorer och vissa Office-komponenter. Det fanns "inget esoteriskt eller svårt att korrigera", till exempel SharePoint-plugins eller.NET-ramverket, sa Barrett. De återstående korrigeringarna adresserade sårbarheter i olika versioner av Microsoft Office (MS13-091), en sårbarhet för informationsutlämnande i nyare versioner av Office (MS13-094), en höjning av privilegieringsfel i Hyper-V (MS13-092) i Windows 8 och Server 2012 R2, ett informationsavsändningsfel i Windows (MS13-093) och ett problem med avslag på tjänst (MS13-095) i operativsystemet.
"Sammanfattningsvis, även om det bara är en medelstor lapptisdag, måste du vara särskilt uppmärksam på de två 0-dagarna och Internet Explorer-uppdateringen. Webbläsare fortsätter att vara favoritmålet för angripare och Internet Explorer, med dess ledande marknadsandel, är en av de mest synliga och troliga målen, "säger Wolfgang Kandek, CTO för Qualys.
