Video: HISTORY OF MICROSOFT INTERNET EXPLORER (1.0-11.0) (Tháng mười một 2024)
Microsoft đã phát hành bảy bản tin sửa 12 lỗ hổng trong bản phát hành Patch thứ ba đầu tiên cho năm 2013. Theo dự kiến, bản sửa lỗi cho lỗ hổng zero-day trong Internet Explorer không phải là một phần của bản phát hành.
Trong số bảy bản tin, chỉ có hai bản được đánh giá là "quan trọng"; năm phần còn lại được đánh giá là "quan trọng", Microsoft cho biết trong buổi tư vấn Patch thứ ba của tháng một. Mặc dù hiện tại không có vấn đề nào đang được khai thác trong tự nhiên, "một khi con đường dẫn đến các tin tặc thông minh, độc hại đến vấn đề này, sẽ không lâu nữa trước khi khai thác bắt đầu", Ross Barrett, quản lý kỹ thuật bảo mật tại Rapid7, nói. nói với SecurityWatch .
Chỉ có hai bản tin quan trọng
Một trong những bản vá quan trọng được Qualys CTO Wolfgang Kandek đánh giá là "bản vá quan trọng nhất trong dòng sản phẩm" vì nó ảnh hưởng đến mọi phiên bản Windows từ XP đến Windows 8, RT và Server 2012, cùng với tất cả các phiên bản Microsoft Office và Microsoft khác các ứng dụng, như Sharepoint và Groove. Lỗ hổng trong thư viện MSXML (MS13-002) có thể có khả năng bị khai thác bằng cách lừa người dùng truy cập vào một trang web độc hại hoặc bằng cách mở một tài liệu Office bị vướng vào email.
Bản tin quan trọng khác ảnh hưởng đến phần mềm bộ đệm Máy in Microsoft Windows trong Windows 7 và 2008 (MS13-001). Kẻ tấn công có khả năng xếp hàng các tiêu đề công việc in độc hại để khai thác các máy khách kết nối, nhưng nó không thể được kích hoạt bằng các phương tiện thông thường. Không ai nên có một bộ đệm in có thể truy cập bên ngoài tường lửa, nhưng lỗ hổng có thể bị khai thác bởi những người trong cuộc độc hại hoặc là một phần của cuộc tấn công leo thang đặc quyền, Barrett nói.
Mặc dù không nghiêm trọng như các lỗ hổng bộ đệm in được khai thác bởi Stuxnet, nhưng thực tế là lỗi này có thể được sử dụng trong một cuộc tấn công theo kiểu tưới nước sẽ khiến nó "khá phổ biến trên các diễn đàn tấn công", Andrew Storms, giám đốc hoạt động bảo mật của nCircle nói. Nó nên được vá, "pronto", ông nói thêm.
Bản tin quan trọng
Các bản tin quan trọng đã giải quyết các vấn đề trong .NET (MS13-004), nhân Windows (MS13-005), triển khai Lớp cổng bảo mật trong Windows Vista (MS13-006), Giao thức dữ liệu mở (MS13-007) và giao thức chéo lỗ hổng kịch bản trang web. Mặc dù các lỗi .NET có thể đã bị khai thác để thực thi mã từ xa, nhưng hộp cát mới được đưa vào tất cả các phiên bản .NET đã giảm "khả năng khai thác", Paul Henry, nhà phân tích pháp y và bảo mật cho Lumension nói.
Lỗ hổng trong mô-đun hạt nhân win32k.sys đã ảnh hưởng đến hộp cát AppContainer trong Windows 8. Mặc dù nó không phải là một lỗ hổng nghiêm trọng, nhưng nó có thể được sử dụng cùng với các lỗ hổng khác để tấn công hệ thống Windows 8, Kandek nói.
Hai vấn đề đặc quyền trong bảng điều khiển Microsoft SCOM đã khiến trang đăng nhập dễ bị tấn công kịch bản chéo trang, Microsoft cho biết trong lời khuyên. Cả hai đều là XSS không liên tục, điều đó có nghĩa là các quản trị viên phải bị thuyết phục truy cập trang độc hại vào một thời điểm cụ thể, Tyler Reguly, giám đốc kỹ thuật nghiên cứu và phát triển bảo mật tại nCircle, nói với SecurityWatch .
Ngày không cố định
Như mong đợi, Microsoft đã không khắc phục được lỗ hổng zero-day hiện đang ảnh hưởng đến Internet Explorer 6, 7 và 8. Mặc dù vấn đề nằm ở các phiên bản cũ hơn của trình duyệt Web, nhưng chúng thực sự chiếm 90% cơ sở được cài đặt IE, Kandek nói. Khai thác hoạt động hiện đang nhắm mục tiêu IE8, vì vậy người dùng nên nâng cấp lên IE9 hoặc IE10 an toàn hơn nếu có thể.
Bản sửa lỗi được phát hành vào tuần trước đã chặn một cuộc tấn công cụ thể, nhưng các nhà nghiên cứu của Exodus Intelligence đã tìm ra những cách khác để kích hoạt lỗ hổng ngay cả sau khi áp dụng cách giải quyết tạm thời. Mặc dù vậy, các quản trị viên vẫn nên triển khai Fix-It, nhưng họ cũng nên xem xét việc chạy Bộ công cụ trải nghiệm giảm thiểu nâng cao của Microsoft, có thể chặn các nỗ lực để kích hoạt lỗ hổng zero-day.