Video: Microsoft Announces Xbox Series X Warning For Millions Of Gamers! People Are Outraged! (November 2024)
Microsoft heeft 23 kwetsbaarheden opgelost in vijf beveiligingsbulletins als onderdeel van de release van June Patch Tuesday. Van de opgeloste bugs bevonden zich 19 in Internet Explorer.
De kwetsbaarheden van geheugenbeschadiging hadden invloed op alle ondersteunde versies van Internet Explorer-webbrowsers die op alle ondersteunde besturingssystemen draaien, volgens het advies van Patch Tuesday van Microsoft. Het IE-bulletin (MS13-047) is het enige dat deze maand als kritiek wordt beoordeeld,
terwijl de resterende vier bulletins als belangrijk werden beoordeeld.
Vier van de problemen hadden betrekking op elke ondersteunde versie van IE, wat suggereert dat aanvallers waarschijnlijk achter deze kwetsbaarheden aan gaan voordat ze de andere proberen te gebruiken, zei Marc Maiffret, CTO van BeyondTrust.
"Gezien het grote aantal vastgestelde kwetsbaarheden, zal dit het belangrijkste doelwit zijn voor aanvallers om reverse-engineering uit te voeren en een exploit te bouwen die kan worden afgeleverd via een kwaadaardige webpagina", aldus Wolfgang Kandek, CTO van Qualys.
Updates voor Office, Windows
Een ander bulletin met hoge prioriteit loste kwetsbaarheden in Microsoft Office (MS13-051) op. De kwetsbaarheid van het parseren van de grafische PNG-indeling in Office 2003 op Windows en 2011 voor Mac OS X wordt momenteel in het wild gericht in beperkte aanvallen, volgens Microsoft.
De "enige reden" dat Microsoft het Office-bulletin niet als kritisch heeft bestempeld, is vanwege het kleine aantal getroffen platformen, aldus Ross Barrett, senior manager beveiligingstechniek bij Rapid7. Aanvallers die geïnteresseerd zijn in het misbruiken van deze fout, zouden een
booby-gevangen Word-document.
De resterende bulletins hebben een kwetsbaarheid voor het vrijgeven van informatie (MS13-048), een denial-of-service-probleem in de TCP / IP-stack (MS13-049) en een kwetsbaarheid voor lokale escalatie in Windows Print Spooler (MS13-050) opgelost, volgens Microsoft. De DoS-bug
treft nieuwere versies van Windows, van Vista tot Windows 8 en Server 2008 tot Server 2012. De fout is alleen een lokale kwetsbaarheid voor Vista, Windows 7 en Server 2008, maar op Windows 8 en Server 2012 kan de bug worden misbruikt via het netwerk.
"Het is verrassend dat nieuwere versies van Windows vatbaarder zijn voor deze bug dan de oudere versies, " zei Lamar Bailey, directeur van beveiligingsonderzoek bij Tripwire. "Nieuwer is niet altijd beter, " voegde hij eraan toe.
Microsoft heeft de kernelverhoging van privilege-kwetsbaarheid die eerder deze maand door Google-medewerker Tavis Ormandy werd bekendgemaakt, niet gesloten als onderdeel van deze patch dinsdag-release. Er is al een proof-of-concept-exploit beschikbaar, dus het is redelijk om aan te nemen dat "de
underground is bezig om die kwetsbaarheid tot onderdeel van hun arsenaal te maken, "zei Kandek, die voorspelde dat de fix deel zal uitmaken van de patch dinsdag update van juli. Barrett dacht niet dat een out-of-band patch waarschijnlijk alleen voor een lokale kernelbug was.
Al met al is het een vrij kleine patch-dinsdag, maar gezien de recente Mac OS X-update van Apple en de Flash-update van Adobe zullen beheerders het nog steeds druk hebben.
