Video: Windows updates Patch Tuesday and Bug fixing updates explained September 16th 2020 (September 2024)
Microsoft släppte åtta bulletiner med 13 sårbarheter i Internet Explorer, Windows och Office som en del av May's Patch Tuesday update. Tre av dem utnyttjas redan i naturen, sade Microsoft.
Även om Microsoft inte släppte några korrigeringar för XP-användare, tror experter att problemen också påverkar det gamla operativsystemet. Microsoft slutade stödet för Windows XP förra månaden, vilket innebär att användare inte längre får säkerhetsuppdateringar för det gamla operativsystemet. Företag som beskjuter ut för utökade supportkontrakt kommer fortfarande att få uppdateringar.
Fixing IE, Under Attack
Uppdateringen av Internet Explorer (MS14-029) är den högsta prioriterade korrigeringen denna månad. Det skiljer sig från andra IE-patchar eftersom detta inte är en kumulativ patch, vilket innebär att användare måste installera förra månadens kumulativa IE-uppdatering (MS14-018) innan de installerar denna patch. Den här månadens bulletin innehåller out-of-band fix från tidigare denna månad som fixade en nolldagars sårbarhet (CVE-2014-1776). Bulletinen fixade också två sårbarheter i minneskorruption (CVE-2014-1815), vilket kan leda till extern körning av kod. Microsoft sade att det fanns "begränsade attacker" som försökte utnyttja en av IE-buggarna.
"Det är viktigt att se till att du använder MS14-018 och MS14-029 om du inte redan har använt den kumulativa uppdateringen för IE förra månaden, " sa Tyler Reguly, chef för säkerhetsforskning på Tripwire.
Attacks in the Wild
Microsoft fixade en upptrappningsfel i Group Policy Preferences (MS14-025) och sa att det redan fanns attacker i naturen som riktar sig till detta fel. En fel i hur Active Directory distribuerar lösenord som är konfigurerade med hjälp av grupppolicyinställningar kan göra det möjligt för angripare att potentiellt hämta dolda domänkontokoder och använda dem för att köra privilegierade processer.
Bulletin som adresserar en ASLR-förbikoppling (MS14-024) har faktiskt ett "viktigt" betyg snarare än "kritiskt", men bör betraktas som högt prioriterat, konstaterade Ross Barrett, senior chef för säkerhetsteknik på Rapid7. Frågan är egentligen inte ett utnyttjande i sig själv, utan är en svaghet som kan användas i samband med andra exploater, sade Barrett. Denna förbikoppling har upptäckts vid användning i samband med andra attacker. Attackare utnyttjar också en sårbarhet i privilegiumhöjningen i Windows för att få åtkomst till det lokala systemkontot (MS14-027) i riktade attacker.
"Båda korrigeringarna rekommenderas starkt och kommer att göra långt för att göra din installation mer robust, " säger Wolfgang Kandek, CTO för Qualys.
Hemmakontorsanvändare på varning
Office-korrigeringen (MS14-023) var "väldigt intressant" för Tripwires Tyler Reguly, som noterade att han använder Microsoft OneDrive och Office365 Home hemma och att exekveringsfel för fjärrkod skulle påverka hur tokens överförs i OneDrive. "Jag måste vara mycket vaken när det gäller att övervaka min familjs användning av dessa tjänster tills jag kan få uppdateringarna spridda över alla våra datorer, " sade Reguly.
BeyondTrust-forskare rekommenderade att man prioriterade den här korrigeringen eftersom sårbarheten för förladdning av DLL "är mycket lätt att använda med offentligt tillgängliga, pålitliga, lättanvända verktyg."
XP-användare i kylan
Microsoft avslutade stödet för Office 2003 och SharePoint 2003 tillsammans med Windows XP förra månaden. De flesta av de sårbarheter som tas upp i release av May Patch Yuesday "förmodligen" påverkar Windows XP och Office 2003, säger Kandek, som antog att alla sårbarheter som påverkar Windows Server 2003 troligtvis kommer att påverka XP. Detta innebär att de brister som tas upp i korrigeringsfilerna för Internet Explorer, ALSR, gruppprofil och SharePoint finns i XP eller Office 2003.
Åtminstone en av de icke-kritiska sårbarheterna som är fixade i Microsoft Office finns troligen i Office 2003. Månadens uppdateringar fixade tre kritiska sårbarheter i SharePoint Server versioner 2007, 2010 och 2013, Office Web Apps, SharePoint Designer och SharePoint Server 2013 Client Components SDK. Trots att Microsoft fixade Internet Explorer för XP i out-of-band-uppdateringen, inkluderade den inte XP i den här månadens patch release. IE-bristen som för närvarande attackeras påverkar nästan säkert Windows XP.
"Vi har haft falska startar tidigare, men den här gången kommer Microsoft verkligen att berätta världen om säkerhetsproblem i Windows och inte korrigera dem i XP, " skrev säkerhetsekspert Graham Cluely på Lumension-bloggen. Angripare gör regelbundet omstrukturerade korrigeringar för att hitta sårbarheterna och de kommer sannolikt att se om samma problem finns på XP. När patchen släpps, tickar klockan.
"Om du fortfarande kör Windows XP betyder det att gå vidare med din plan att byta från operativsystemet till något bättre vid det tidigaste, säkraste tillfället, " sa Cluley. "Vilken version av Windows du än använder, gör rätt sak."
