Video: CNET Update - Microsoft fixes big bad Internet Explorer bug (November 2024)
Microsoft lost 37 kwetsbaarheden op in Internet Explorer en in ondersteunde versies van Windows als onderdeel van de release van August Patch Tuesday.
Volgens Microsoft waren er negen beveiligingsbulletins voor augustus, waarvan er twee als kritisch werden beoordeeld. De cumulatieve update voor alle ondersteunde versies van Internet Explorer loste 26 bugs op, waaronder een die openbaar werd gemaakt op Black Hat en die als de hoogste prioriteit moet worden beschouwd. Van de 26, werd een privilege escalatie bug al in het wild geëxploiteerd, zei Microsoft. De fout die wordt geopenbaard bij Black Hat is ook een fout in de escalatie van privileges en kan een aanvaller in staat stellen de toepassingssandbox te omzeilen.
"Deze constante reeks kritieke kwetsbaarheden van Internet Explorer is nog een andere herinnering aan het belang van het implementeren van het minste privilege om ervoor te zorgen dat als een gebruiker wordt misbruikt met een van deze kwetsbaarheden, de aanvaller niet eenvoudigweg beheerdersrechten krijgt", aldus Marc Maiffret, CTO van BeyondTrust.
Het is ook belangrijk om te onthouden dat veel van deze problemen waarschijnlijk voorkomen in Internet Explorer op Windows XP, en zouden zijn gepatcht, als Microsoft nog steeds het oude besturingssysteem had ondersteund, zei Ross Barrett, senior manager van security engineering bij Rapid7.
Mensen gebruiken Windows Media Center nog steeds?
De tweede kritieke update van de maand loste een fout in Windows Media Center op, maar heeft alleen invloed op de Professional / Ultimate / Enterprise-edities voor Windows 7 en 8 / 8.1 en het "Media Center TV Pack" voor Windows Vista. Voor een succesvolle exploit zou de gebruiker een speciaal vervaardigd Microsoft Office-bestand moeten openen dat Windows Media Center-bronnen oproept en leiden tot uitvoering van externe code. De aanvaller krijgt dezelfde rechten als de gebruiker.
"Dit is geen echte afstandsbediening, maar eerder een nieuwe aanval waarbij een gebruiker moet worden gedwongen een schadelijk bestand te openen, " zei Barrett.
Problemen in SQL Server
De SQL Server-patch heeft een probleem opgelost dat, indien misbruikt, kan leiden tot een denial-of-service op alle ondersteuningsversies. De verhoging van de privilege-bug wordt niet als kritisch beoordeeld omdat het een zekere mate van authenticatie vereist om te exploiteren, "maar gezien de mogelijkheid dat dit in een aantal omstandigheden gebeurt, is dit ongetwijfeld een belangrijk probleem voor beheerders om aan te pakken, " zei Barrett.
De cross-site scripting-fout in SQL Server-patch kan worden benut "om elke actie te ondernemen die een gebruiker namens de beoogde gebruiker op een site zou kunnen ondernemen", aldus Maiffret. Het XSS-filter op Internet Explorer versie 8 tot en met 11 kan deze aanval voorkomen, dus gebruikers moeten het filter zowel op internet als op de intranetzones inschakelen.
Tijd om beheerdersrechten te verwijderen
De resterende zeven bulletins hebben problemen in verschillende andere Microsoft-technologieën opgelost, waaronder stuurprogramma's voor de kernelmodus, het.NET Framework, OneNote, Windows Installer en SharePoint. De meeste van hen zijn misbruik van privileges.
Het verhogen van kwetsbaarheden van bevoegdheden kan worden beperkt door het machtigingsniveau van de aangemelde gebruiker te verlagen tot het laagst mogelijke bevoegdheidsniveau, zei Chris Goettl, een productmanager bij Shavlik. "Veel IT-organisaties hebben moeite om de rechten voor de gebruiker te verminderen en toch effectief te laten werken", maar de updates van deze maand laten zien waarom beheerders waar mogelijk rechten moeten blokkeren, zei Goettl.
