Video: OpenAI Microsoft (September 2024)
Det är en trifekta av programvarupatcher, där Microsoft, Adobe och Oracle släpper alla säkerhetsuppdateringar samma dag.
Som förväntat började Microsoft 2014 med en ganska lätt Patch Tuesday release, som fixade sex inte så kritiska sårbarheter över fyra säkerhetsbulletiner. Samma dag utfärdade Adobe två kritiska uppdateringar som fixade tre kritiska exekveringsfel i exekveringsfel i Adobe Reader, Acrobat och Flash. En schemaläggningsspråk innebar att Oracles kvartalsvisa uppdatering av kritisk patch också föll samma tisdag, vilket resulterade i en enorm volym patchar för IT-administratörer att hantera. Oracle fixade 144 sårbarheter över 40 produkter, inklusive Java, MySQL, VirtualBox och dess flaggskepp Oracle-databas.
"Medan Microsoft bara släpper fyra uppdateringar, finns det gott om arbete för IT-administratörer på grund av utgivningar av Adobe och Oracle, " säger Wolfgang Kandek, CTO för Qualys.
Java-korrigeringarna från Oracle bör ha högsta prioritet, följt av Adobe Reader- och Flash-rådgivningarna, och sedan uppdateringarna av Microsoft Word och XP, säger experter.
Oracle tar på Java
Även med beaktande av att Oracle korrigerar kvartalsvis och fixar fler produkter är denna CPU fortfarande en rekordbrytare i antalet fixade problem. Av de 144 säkerhetsbristerna kan 82 anses vara kritiska eftersom de kan utnyttjas på distans utan verifiering.
De flesta av de sårbarheter som adresserades i Oracle's gigantiska CPU var i Java v7. Oracle fixade 34 fjärrkontrollfel med flera poäng 10 på skalan Common Vulnerability Scoring System. CVSS indikerar allvarligheten i bristen och sannolikheten för att angriparen får total kontroll över systemet.
Java var en av de mest angripna programvarorna 2013 och experter varnade för att det kommer att fortsätta att vara ett populärt mål. Om du inte använder det, avinstallera det. Om du måste ha Java installerat, avaktivera det åtminstone i webbläsaren, eftersom alla attacker hittills har attackerat webbläsaren. Om du har åtkomst till webbapplikationer som kräver Java, ska du hålla den i en annan webbläsare än din standardapparat och byta vid behov. Om du inte behöver det, behåll inte det. Om du behåller det, lapp omedelbart.
Oracle fixade också fem säkerhetsfel i sin egen Oracle-databas, varav en kan utnyttjas på distans och 18 sårbarheter i MySQL. Tre av dessa buggar kunde attackeras på distans och hade den maximala CVSS-poängen på 10. Serverprogramvaran Solaris hade 11 brister, inklusive en som kunde attackeras på distans. Det mest allvarliga Solaris-felet hade en CVSS-poäng på 7, 2. CPU behandlade nio problem i Oracle Virtualization Software, som inkluderar virtualiseringsprogramvaran VirtualBox, varav fyra kan utlösas på distans. Den maximala CVSS-poängen var 6, 2.
Om du använder någon av dessa produkter är det viktigt att uppdatera dem omedelbart. MySQL används ofta som back-end-system för ett antal populära CMS- och forumprogramvaror, inklusive WordPress och phpBB.
Reader och Flash Fixes
Adobes fixade säkerhetsproblem i Adobe Flash, Acrobat och Reader, som om de utnyttjas skulle ge angriparna total kontroll över målsystemet. Attackvektorn för felet Acrobat och Reader var en skadlig PDF-fil. Flash-felet kan utnyttjas genom att besöka skadliga webbsidor eller öppna dokument med inbäddade Flash-objekt.
Om du har bakgrundsuppdateringar aktiverade för Adobes produkter bör uppdateringarna vara sömlösa. Användare med Google Chrome och Internet Explorer 10 och 11 behöver inte oroa sig för den nya versionen av Flash eftersom webbläsarna kommer att uppdatera programvaran automatiskt.
Lätt Microsoft-uppdatering
Microsoft fixade ett filformatssårbarhet i Microsoft Word (MS14-001) som kan utnyttjas på distans om användaren öppnar en booby-fångad Word-fil. Det påverkar alla Microsoft Word-versioner på Windows, inklusive Office 2003, 2007, 2010, och 2013, samt Word-dokumentvisare. Mac OS X-användare påverkas inte.
Nolldagars sårbarheten (CVE-2013-5065) som påverkar Windows XP och Server 2003-system som upptäcktes i naturen i november förra året har äntligen korrigerats (MS14-002). Även om felet med eskalering av privilegierna i NDProxy inte kan utföras på distans bör det ha hög prioritet eftersom det kan kombineras med andra sårbarheter. Attackerna i november använde ett skadligt PDF-dokument för att först utlösa en brist i Adobe Reader (som lappades maj 2013 i APSB13-15) för att få åtkomst till Windows-kärnbugg. Microsoft fixade en liknande upptrappningsfel i Windows 7 och Server 2008 (MS14-003).
"Om du är orolig för 002 och inte 003 kommer du troligtvis att ha några problem i april när supporten slutar för Windows XP, " sade Rapid7.
På egen hand kanske dessa sårbarheter inte är kritiska, men tillsammans kan de vara mycket allvarligare, varnade Trustwave. Om en kampanj som använder en skadlig Office-dokument kört kod som riktar sig till felet för höjning av privilegier, "då skulle ett phishing-e-postmeddelande till en intetanande användare vara allt som behövs, " säger teamet.
