Video: Hướng dẫn học sách 30 chủ đề từ vựng (Tháng mười một 2024)
Microsoft đã phát hành bảy bản tin sửa 34 lỗi duy nhất trong .NET Framework, nhân Windows và Internet Explorer như một phần của Bản vá thứ ba. Ngoài ra còn có chính sách 180 ngày mới cho thị trường Microsoft liên quan đến các ứng dụng có lỗi bảo mật.
Trong số bảy bản tin, sáu bản được xếp hạng quan trọng và một bản được đánh giá quan trọng, Microsoft cho biết trong bản tư vấn Patch thứ ba được phát hành chiều hôm qua. Microsoft khuyên bạn nên cài đặt bản tin IE (MS13-055) trước, sau đó là một trong những bản tin dành cho trình điều khiển chế độ nhân Windows (MS13-053). Các bản tin TrueType và Windows còn lại nằm trong nhóm ưu tiên tiếp theo, theo sau là bản vá "quan trọng" duy nhất.
"Mọi thứ trong thế giới cốt lõi của Microsoft đều bị ảnh hưởng bởi một hoặc nhiều trong số này; mọi hệ điều hành được hỗ trợ, mọi phiên bản của MS Office, Lync, Silverlight, Visual Studio và .NET", Ross Barrett, giám đốc kỹ thuật bảo mật tại Rapid7 cho biết.
Windows 8.1 Preview và IE 11 không bị ảnh hưởng bởi bất kỳ bản tin nào trong số này.
Phông chữ xấu xí
Ba bản tin riêng biệt (MS13-052, MS13-053 và MS13-054) đã sửa lỗi lỗ hổng phông chữ TrueType trong .NET. Marc Maiffret, CTO của BeyondTrust cho biết, lỗi phông chữ TrueType này tương tự như lỗi được khai thác bởi Stuxnet và Duqu, ngoại trừ thực tế là nó có trong .NET chứ không phải trong nhân Windows.
MS13-054 đã sửa lỗi lỗ hổng TrueType trong GDI +, một thành phần trong nhân Windows. Lỗ hổng ảnh hưởng đến nhiều sản phẩm, bao gồm mọi phiên bản được hỗ trợ của Windows, Office 2003/2007/2010, Visual Studio .NET 2003 và Lync 2010/2013. Maiffret dự đoán lỗ hổng này sẽ bị những kẻ tấn công khai thác trong tương lai gần vì rất nhiều sản phẩm sử dụng GDI +.
"MS13-053 là người tồi tệ nhất trong nhóm", Tommy Chin, một kỹ sư hỗ trợ kỹ thuật tại CORE Security, cho biết thêm "Đó là việc thực thi mã từ xa và leo thang đặc quyền tất cả trong một". Kẻ tấn công có thể tạo ra các nạn nhân tiềm năng để xem một tệp được tạo thủ công với nội dung TrueType độc hại. Nếu thành công, kẻ tấn công giành quyền truy cập của quản trị viên vào hệ thống bị ảnh hưởng, Chin nói.
Lỗ hổng zero-day trong nhân Windows được phát hiện bởi nhà nghiên cứu bảo mật Tavis Ormandy cũng được sửa trong bản tin này. Xem xét khai thác cho lỗ hổng này đã được bao gồm trong các khung công khai như Metasploit, điều này cần được ưu tiên cao
trình duyệt web IE
Bản cập nhật lớn của Internet Explorer đã giải quyết 17 lỗ hổng, trong đó có 16 lỗ hổng tham nhũng bộ nhớ và một lỗi kịch bản chéo trang. Lỗi tham nhũng bộ nhớ có thể được sử dụng trong các cuộc tấn công lái xe trong đó kẻ tấn công thiết lập các trang web độc hại và sử dụng các chiến thuật kỹ thuật xã hội để thu hút người dùng đến các trang độc hại. Đã có rất nhiều lỗi tham nhũng bộ nhớ trong Internet Explorer trong vài ngày thứ Ba vừa qua, Maiffret lưu ý và nói thêm, "Điều bắt buộc là bản vá này phải được tung ra càng sớm càng tốt."
Thay đổi chính sách thị trường của Microsoft
Microsoft cũng đã công bố một sự thay đổi chính sách liên quan đến thị trường Microsoft. Theo chính sách mới, mọi ứng dụng trong bất kỳ bốn cửa hàng ứng dụng nào do Microsoft điều hành (Windows Store, Windows Phone Store, Office Store và Azure Marketplace) sẽ được cung cấp 180 ngày để giải quyết các vấn đề bảo mật. Dòng thời gian áp dụng cho các lỗ hổng được xếp hạng quan trọng hoặc quan trọng và không bị tấn công.
Nếu nó không được vá trong khung thời gian đó, ứng dụng sẽ bị xóa khỏi cửa hàng, Microsoft cho biết. Chính sách này áp dụng cho các ứng dụng từ cả nhà phát triển bên thứ ba cũng như Microsoft.
"Microsoft đang có một bước tiến lớn trong việc giảm thiểu các ứng dụng dễ bị tổn thương trong các cửa hàng ứng dụng khác nhau của họ", Craig Young, một nhà nghiên cứu bảo mật của Tripwire cho biết.
Tuy nhiên, điều đáng chú ý là 180 ngày là một thời gian dài, khiến Microsoft rất khó có thể sẽ tiếp tục kéo một ứng dụng. Một nhà phát triển không có khả năng mất hơn sáu tháng để khắc phục lỗ hổng nghiêm trọng và nếu bản cập nhật mất nhiều thời gian hơn dự kiến, Microsoft sẵn sàng đưa ra ngoại lệ.
Xem xét rằng, chính sách mới này có vẻ như là một cách để Microsoft nghe có vẻ khó khăn mà không ảnh hưởng xấu đến các nhà phát triển.
Thêm trước
Đây sẽ là một tháng bận rộn cho các quản trị viên. Adobe đã phát hành các bản cập nhật của riêng mình và Oracle sẽ phát hành bản cập nhật hàng quý cho tất cả phần mềm của họ ngoại trừ Java vào tuần tới.