Video: Microsoft Internet Explorer Zero-Day Vulnerability| Advisory|Mitigation|Workaround (September 2024)
Microsoft släppte fem korrigeringar - två klassificerade som "kritiska" och tre som "viktiga" - fixar 23 sårbarheter i Internet Explorer, Microsoft Windows och Silverlight som en del av Mars's Patch Tuesday-uppdatering. IE-korrigeringen stängde också nolldagars sårbarhet som angriparna har utnyttjat sedan februari.
Attacker utnyttjade den kritiska nolldagars sårbarheten (CVE-2014-0322) i Internet Explorer 10 förra månaden som en del av Operation SnowMan, som komprometterade webbplatsen som tillhör de amerikanska veteranerna i utländska krig, liksom i en annan attack som föreställer sig en fransk flyg- och rymdtillverkare. IE-korrigeringen (MS14-022) stänger denna brist samt 17 andra, inklusive en som har använts i begränsade riktade attacker mot Internet Explorer 8 (CVE-2014-0324), Dustin Childs, en gruppchef på Microsoft Trustworthy Computing, skrev på Microsoft Security Response Center-bloggen.
"Uppenbarligen bör IE-uppdateringen vara din högsta prioritet, " sade Childs.
Problem med Silverlight
Den andra kritiska korrigeringen fixar en kritisk exekveringsfel för extern kod i DirectShow och påverkar flera versioner av Windows. Sårbarheten ligger i hur JPEG-bilder analyseras av DirectShow, vilket gör det troligt att attacker som utnyttjar denna brist kommer att införa skadliga bilder på komprometterade webbsidor eller inbäddas i dokument, säger Marc Maiffret, CTO för BeyondTrust. Det är värt att notera att användare som kör med icke-administratörsbehörighet kommer att påverkas mindre av dessa attacker eftersom angriparen kommer att vara begränsad i den skada han eller hon kan orsaka.
Säkerhetsfunktionens förbikoppling i Silverlight klassificeras som "viktig" men bör också vara ganska hög prioriterad. Angripare kan utnyttja bristen genom att leda användare till en skadlig webbplats som innehåller speciellt utformat Silverlight-innehåll, sade Microsoft. Vad som är farligt är att angripare kan kringgå ASLR och DEP, två utnyttjande tekniker som är inbyggda i Windows genom att utnyttja denna sårbarhet, varnade Maiffret. En angripare skulle behöva ett sekundärt utnyttjande för att uppnå exekvering av fjärrkod efter att ha kringgått ASLR och DEP för att få kontroll över systemet, till exempel ASLR-bypass-fel som lappades i december (MS13-106). Medan det för närvarande inte finns några attacker som utnyttjar denna brist i naturen, bör användare blockera Silverlight från att köras i Internet Explorer, Firefox och Chrome tills patchen appliceras, sa Maiffret. Det är också viktigt att se till att äldre korrigeringar också har distribuerats.
Microsoft borde ge upp Silverlight eftersom "det ser många korrigeringar med tanke på dess begränsade antagande", föreslog Tyler Reguly. Eftersom Microsoft kommer att fortsätta stödja det till minst 2021 bör organisationer börja migrera bort från Silverlight så att "vi alla kan avinstallera Silverlight och effektivt öka säkerheten för slutanvändarsystem, " tillade han.
Återstående Microsoft-korrigeringar
En annan patch som bör tillämpas förr snarare än senare är den som adresserar ett par höjning av privilegier sårbarheter Windows Kernel Mode Driver (MS14-014) eftersom det påverkar alla versioner av Windows som stöds (för den här månaden, som fortfarande inkluderar Windows XP). För att utnyttja denna brist måste angriparen "ha giltiga inloggningsuppgifter och kunna logga in lokalt", varnade Microsoft.
Den sista korrigeringen löser problem i Security Account Manager Remote (SAMR) -protokollet som gör det möjligt för angripare att skjuta upp Active Directory-konton och inte låses ur kontot. Patchen fixar API-samtalet så att Windows låser konton korrekt när de attackeras. "Låsningspolicyer för lösenordsförsök införs specifikt för att förhindra brute-force-försök och tillåta en skadlig angripare att kringgå politiken helt besegrar det skydd som den ger, " sade Reguly.
Andra programuppdateringar
Det här är veckan för operativsystemuppdateringar. Apple släppte iOS 7.1 tidigare denna vecka och Adobe uppdaterade sin Adobe Flash Player (APSB14-08) för att stänga två sårbarheter idag. Frågorna utnyttjas för närvarande inte i naturen, sade Adobe.
Apple fixade några viktiga problem i iOS 7, inklusive ett kraschrapporteringsproblem som kan göra det möjligt för en lokal användare att ändra behörigheter för godtyckliga filer på de drabbade enheterna, ett kärnproblem som kan möjliggöra en oväntad systemavslutning eller körning av godtycklig kod i kärnan och ett fel som gjorde det möjligt för en obehörig användare att kringgå kraven för kodsignering på berörda enheter. Apple fixade också ett fel som kan göra det möjligt för en angripare att locka en användare att ladda ner en skadlig app via Enterprise App Download och en annan som tillät en skadlig säkerhetskopierad säkerhetskopia att ändra iOS-filsystemet.
