Video: Major Update Fixes 112 Vulnerabilities in Windows 10 (September 2024)
Microsoft släppte sju bulletiner som fixade 34 unika buggar i.NET Framework, Windows-kärnan och Internet Explorer som en del av juli's Patch Tuesday. Det finns också en ny 180-dagars policy för Microsofts marknadsplats när det gäller appar med säkerhetsbugg.
Av de sju bulletinerna är sex bedömda som kritiska, och en bedömdes som viktig, sade Microsoft i sin rådgivande Patch Tuesday som släpptes i går eftermiddag. Microsoft rekommenderade att installera IE-bulletin (MS13-055) först, följt av en av bulletinerna för drivrutiner för Windows-kärnläge (MS13-053). De återstående bulletinerna från TrueType och Windows var i nästa prioriterade grupp följt av den enda "viktiga" korrigeringen.
"Allt i Microsofts kärnvärld påverkas av ett eller flera av dessa; varje stöds operativsystem, varje version av MS Office, Lync, Silverlight, Visual Studio och.NET, " säger Ross Barrett, senior chef för säkerhetsteknik på Rapid7.
Windows 8.1 Preview och IE 11 påverkas inte av någon av dessa bulletiner.
Fula, fula teckensnitt
Tre separata bulletiner (MS13-052, MS13-053 och MS13-054) fixade TrueType-teckensnittssårbarheten i.NET. Detta TrueType-teckensnittsfel liknar det som utnyttjas av Stuxnet och Duqu, förutom att det finns i.NET och inte i Windows-kärnan, säger Marc Maiffret, CTO för BeyondTrust.
MS13-054 fixade TrueType-sårbarheten i GDI +, en komponent i Windows-kärnan. Felet påverkar flera produkter, inklusive alla versioner av Windows, Office 2003/2007/2010, Visual Studio.NET 2003 och Lync 2010/2013 som stöds. Maiffret förutspådde att denna brist kommer att utnyttjas av angripare inom en snar framtid eftersom så många produkter använder GDI +.
"MS13-053 är gruppens värsta, " sade Tommy Chin, teknisk supportingenjör på CORE Security, och lägger till "Det är exekvering av fjärrkod och eskalering av privilegier allt i ett." Attacker kan sociala ingenjörer potentiella offer för att se en utformad fil med skadligt TrueType-innehåll. Om det lyckas får angriparen administratörsåtkomst till det drabbade systemet, sa Chin.
Nolldagars sårbarheten i Windows-kärnan som upptäckts av säkerhetsforskaren Tavis Ormandy är också fixad i denna bulletin. Med tanke på att utnyttjande av denna sårbarhet redan ingår i offentliga ramar som Metasploit, bör detta vara högt prioriterat
Internet Explorer
Internet Explorer: s massiva uppdatering adresserade 17 brister, varav 16 är sårbarheter i minneskorruption och en ett skriptfel över hela webbplatsen. Fel i minneskorruption kan användas i drive-by-attacker där angripare ställer in skadliga webbsidor och använder socialteknik för att dra användare till skadliga sidor. Det har funnits många minneskorruptionsfel i Internet Explorer under de senaste Patch-tisdagarna, konstaterade Maiffret och tilllade: "Det är absolut nödvändigt att den här korrigeringen rullas ut så snart som möjligt."
Microsoft Marketplace Policy Change
Microsoft meddelade också en policyändring relaterad till Microsoft Marketplace. Enligt den nya policyn kommer varje app i någon av de fyra appbutiker som drivs av Microsoft (Windows Store, Windows Phone Store, Office Store och Azure Marketplace) att få 180 dagar för att lösa säkerhetsproblem. Tidslinjen gäller sårbarheter som bedöms vara kritiska eller viktiga och som inte attackeras.
Om den inte lappas inom den tidsramen kommer appen att tas bort från butiken, sade Microsoft. Policyen gäller både applikationer från såväl tredjepartsutvecklare som Microsoft.
"Microsoft tar ett stort steg mot att minimera utsatta applikationer i sina olika appbutiker, " säger Craig Young, en säkerhetsforskare med Tripwire.
Det är emellertid värt att notera att 180 dagar är lång tid, vilket gör det mycket osannolikt att Microsoft någonsin kommer att sluta med att dra en app. En utvecklare kommer sannolikt inte att spendera mer än sex månader på att fixa en kritisk sårbarhet, och om uppdateringen tar längre tid än väntat är Microsoft villigt att göra undantag.
Med tanke på det låter den nya policyn som ett sätt för Microsoft att låta tufft utan att påverka utvecklarna negativt.
Mer framåt
Detta kommer att bli en hektisk månad för administratörer. Adobe släppte sina egna uppdateringar, och Oracle släpper sin kvartalsuppdatering av all deras programvara utom Java nästa vecka.
