Video: Squash 57 - Racketball Club championships David Gouldby v Nathan Taylor (September 2024)
Microsoft drev ut en massiv Patch Tuesday release som fixar sårbarheter i nästan varje Windows-operativsystem och flera serverprodukter för februari.
Det finns 12 säkerhetsbulletiner i denna månads uppdatering, som hanterar 57 viktiga sårbarheter, sade Microsoft i sin säkerhetsrådgivning för februari's Patch Tuesday. Det goda är att bara fem av bulletinerna betraktas som kritiska, och att alla de återstående betraktas som "viktiga", vilket innebär att administratörer kan ta lite tid att tillämpa dem.
"Det kommer att bli en grov valentinsdag för många IT-administratörer den här månaden. Med pågående problem med Java och 12 bulletiner från Microsoft, inklusive 5 kritiska problem och många omstarter, kommer det att bli en mycket störande patch tisdag, " sa Paul Henry, säkerhetsanalytiker med Lumension.
Och det räknar inte ens Adobes nöduppdatering av Flash från förra veckan och dagens planerade uppdateringar av Flash och Showckwave Player.
"Om du bara har tid att göra det absoluta minimumet, bör du lappa Internet Explorer och Flash omedelbart, " sa Andrew Storms, chef för säkerhetsoperationer på nCircle. Sincethe-frågorna är brister i exekvering, de utgör allvarliga risker för organisationer och individer, sade Storms.
Vad är mest kritiskt?
Bulletinerna med högsta prioritet är de två som är relaterade till Internet Explorer och de som är relaterade till Windows Kernel-drivrutinen win32k.sys, berättade säkerhetsexperter till SecurityWatch .
IE-uppdateringen "MS "- (MS13-009) fixade 13 buggar, varav 12 är exekveringsfel för fjärrkod. Angripare skulle kunna utnyttja dessa problem som en del av en attack för nedladdning, enligt Wolfgang Kandek, CTO för Qualys. Den andra bulletin (MS13-010) stänger en sårbarhet i en ActiveX-DLL och är faktiskt ett problem i Vector Markup Language-DLL, ActiveX-kontrollen för det XML-baserade standardformatet för tvådimensionell vektorgrafik. Internet Explorer är bara ett sätt som sårbarheten kan utnyttjas. Microsoft sa att VML-bristen för närvarande utnyttjas i naturen.
Med tanke på att VML har lappats tidigare 2007 och 2011, skulle det vara bättre att ta bort det från systemet helt, men det verkar inte finnas ett sätt att enkelt göra det, sade Kandek.
"Det finns inget riktigt sätt att minska eller mildra risken för denna sårbarhet, vilket följaktligen gör det till din högsta prioriterade patch för månaden, " sade Henry.
Windows-problem
Förutom de två bulletinerna för Internet Explorer adresserar alla återstående uppdateringar problem i olika versioner av Windows, börjar med Windows XP och går hela vägen till den nya Windows RT. Windows XP-bulletin (MS13-020) löst ett problem i Microsoft Windows Object Linking and Embedding (OLE) automatisering. Sårbarheten skulle leda till extern körning av kod om användaren öppnar en speciellt utformad RTF-fil och ger angriparen samma behörigheter som användaren, sade Microsoft.
"Om du fortfarande kör XP bör du göra denna lapp högt prioriterad och börja planera för att den ska ersättas eftersom dess livslängd är inställd till april 2014, " sade Kandek.
Sårbarheten i Microsoft Exchange Server är relaterad till ett problem i Oracle's Outside In-teknik och inte till kärnkomponenterna i Exchange. Felet finns i Outlook Web Access och kan utnyttjas om användaren öppnar ett skadligt dokument genom OWA. Handlingen med att återge dokumentet infekterar e-postservern eftersom den använder sårbara bibliotek.
Detta är inte första gången sårbarheter i Oracle-teknologier påverkar Microsofts produkter, och "denna trend med tredje parts sårbarheter som påverkar Microsoft-produkter kommer att fortsätta att iakttas i framtiden, " säger Marc Maiffret, CTO för BeyondTrust, till SecurityWatch .
En sårbarhet vid mediedekompression (MS13-011) kan möjliggöra exekvering av fjärrkod om användaren öppnar en speciellt utformad mediefil, till exempel en.mpg, eller ett Microsoft Office-dokument, t.ex. Microsoft sa. Detta fel kan bara utnyttjas när en viss codec populär i asiatiska länder är installerad, sade Kandek.
