Trang Chủ Đồng hồ an ninh Oracle tham gia adobe, microsoft trong bản vá tháng một khổng lồ vào thứ ba

Oracle tham gia adobe, microsoft trong bản vá tháng một khổng lồ vào thứ ba

Video: Adobe Acrobat Pro 2020 | 100% Permanent Activation | Free PDF Editor | Acrobat DC Pro (Tháng mười một 2024)

Video: Adobe Acrobat Pro 2020 | 100% Permanent Activation | Free PDF Editor | Acrobat DC Pro (Tháng mười một 2024)
Anonim

Đây là một bộ ba bản vá phần mềm, với Microsoft, Adobe và Oracle đều phát hành bản cập nhật bảo mật trong cùng một ngày.

Đúng như dự đoán, Microsoft đã bắt đầu năm 2014 với bản phát hành Patch thứ ba khá nhẹ, khắc phục sáu lỗ hổng không quá quan trọng trên bốn bản tin bảo mật. Cùng ngày, Adobe đã ban hành hai bản cập nhật quan trọng sửa ba lỗi thực thi mã từ xa quan trọng trong Adobe Reader, Acrobat và Flash. Một kế hoạch lập kế hoạch có nghĩa là Cập nhật Bản vá quan trọng hàng quý của Oracle cũng rơi vào cùng ngày thứ ba, dẫn đến một khối lượng lớn các bản vá để các quản trị viên CNTT xử lý. Oracle đã sửa 144 lỗ hổng trên 40 sản phẩm, bao gồm Java, MySQL, VirtualBox và cơ sở dữ liệu Oracle hàng đầu của nó.

"Trong khi Microsoft chỉ phát hành bốn bản cập nhật, có rất nhiều công việc cho các quản trị viên CNTT do Adobe và Oracle phát hành", Wolfgang Kandek, CTO của Qualys nói.

Các bản vá Java từ Oracle phải được ưu tiên cao nhất, theo sau là các trình tư vấn Adobe Reader và Flash, và sau đó là các bản cập nhật Microsoft Word và XP, các chuyên gia cho biết.

Oracle thực hiện trên Java

Ngay cả khi tính đến việc Oracle vá lỗi hàng quý và đang sửa chữa nhiều sản phẩm hơn, CPU này vẫn là một kỷ lục phá vỡ số lượng các vấn đề được khắc phục. Trong số 144 lỗi bảo mật, 82 có thể được coi là nghiêm trọng vì chúng có thể bị khai thác từ xa mà không cần xác thực.

Phần lớn các lỗ hổng được xử lý trong CPU khổng lồ của Oracle là trong Java v7. Oracle đã sửa 34 lỗi thực thi từ xa, với một số điểm 10 trên thang điểm Hệ thống chấm điểm dễ bị tổn thương chung. CVSS cho thấy mức độ nghiêm trọng của lỗ hổng và khả năng kẻ tấn công giành được toàn quyền kiểm soát hệ thống.

Java là một trong những phần mềm bị tấn công nhiều nhất vào năm 2013 và các chuyên gia cảnh báo nó sẽ tiếp tục là mục tiêu phổ biến. Nếu bạn không sử dụng nó, hãy gỡ cài đặt nó. Nếu bạn cần cài đặt Java, ít nhất hãy vô hiệu hóa nó trong trình duyệt Web, vì tất cả các cuộc tấn công cho đến nay đã tấn công trình duyệt. Nếu bạn truy cập các ứng dụng Web yêu cầu Java, hãy giữ nó trên một trình duyệt Web khác với trình duyệt mặc định của bạn và chuyển đổi khi cần thiết. Nếu bạn không cần nó, đừng giữ nó. Nếu bạn giữ nó, vá ngay lập tức.

Oracle cũng đã sửa năm lỗi bảo mật trong cơ sở dữ liệu Oracle của riêng mình, một trong số đó có thể bị khai thác từ xa và 18 lỗ hổng trong MySQL. Ba trong số các lỗi đó có thể bị tấn công từ xa và có điểm CVSS tối đa là 10. Phần mềm máy chủ Solaris có 11 lỗi, trong đó có một lỗi có thể bị tấn công từ xa. Lỗi Solaris nghiêm trọng nhất có điểm CVSS là 7.2. CPU đã giải quyết chín vấn đề trong Phần mềm ảo hóa Oracle, bao gồm phần mềm ảo hóa VirtualBox, trong đó bốn vấn đề có thể được kích hoạt từ xa. Điểm CVSS tối đa là 6, 2.

Nếu bạn đang chạy bất kỳ sản phẩm nào trong số này, điều quan trọng là phải cập nhật chúng ngay lập tức. MySQL được sử dụng rộng rãi như là hệ thống back-end cho một số phần mềm diễn đàn và CMS phổ biến, bao gồm WordPress và phpBB.

Trình đọc và sửa lỗi Flash

Adobe đã khắc phục các sự cố bảo mật trong Adobe Flash, Acrobat và Reader, nếu được khai thác, sẽ cung cấp cho kẻ tấn công toàn quyền kiểm soát hệ thống đích. Vectơ tấn công cho lỗi Acrobat và Reader là một tệp PDF độc hại. Lỗ hổng Flash có thể bị khai thác bằng cách truy cập các trang Web độc hại hoặc mở tài liệu bằng các đối tượng Flash được nhúng.

Nếu bạn đã bật cập nhật nền cho các sản phẩm Adobe, các bản cập nhật sẽ liền mạch. Người dùng có Google Chrome và Internet Explorer 10 và 11 sẽ không phải lo lắng về phiên bản Flash mới vì các trình duyệt sẽ tự động cập nhật phần mềm.

Cập nhật Microsoft nhẹ

Microsoft đã sửa một lỗ hổng định dạng tệp trong Microsoft Word (MS14-001) có thể bị khai thác từ xa nếu người dùng mở tệp Word bị bẫy. Nó ảnh hưởng đến tất cả các phiên bản Microsoft Word trên Windows, bao gồm Office 2003, 2007, 2010 và 2013, cũng như người xem tài liệu Word. Người dùng Mac OS X không bị ảnh hưởng.

Lỗ hổng zero-day (CVE-2013-5065) ảnh hưởng đến các hệ thống Windows XP và Server 2003 được phát hiện trong tự nhiên vào tháng 11 năm ngoái cuối cùng đã được vá (MS14-002). Mặc dù lỗ hổng leo thang đặc quyền trong NDProxy không thể được thực thi từ xa, nhưng nó phải được ưu tiên cao vì nó có thể được kết hợp với các lỗ hổng khác. Các cuộc tấn công vào tháng 11 đã sử dụng một tài liệu PDF độc hại để lần đầu tiên kích hoạt một lỗ hổng trong Adobe Reader (được vá vào tháng 5 năm 2013 trong APSB13-15) để truy cập vào lỗi kernel của Windows. Microsoft đã sửa một lỗi leo thang đặc quyền tương tự trong Windows 7 và Server 2008 (MS14-003).

"Nếu bạn lo lắng về 002 chứ không phải 003, bạn có thể sẽ gặp một số vấn đề vào tháng Tư khi hỗ trợ kết thúc cho Windows XP, " Rapid7 nói.

Về mặt bản thân, các lỗ hổng này có thể không nghiêm trọng, nhưng kết hợp chúng có thể nghiêm trọng hơn nhiều, Trustwave cảnh báo. Nếu một chiến dịch sử dụng tài liệu Office độc ​​hại đã thực thi mã nhắm vào lỗi độ cao đặc quyền, thì "email lừa đảo cho người dùng không nghi ngờ sẽ là tất cả những gì cần thiết", nhóm nghiên cứu cho biết.

Oracle tham gia adobe, microsoft trong bản vá tháng một khổng lồ vào thứ ba