Video: CNET Update - Microsoft fixes big bad Internet Explorer bug (November 2024)
Microsoft lost 33 kwetsbaarheden op in tien bulletins in Internet Explorer, Office-toepassingen, Windows,.NET Framework en Lync als onderdeel van de release van mei Patch dinsdag.
Van de tien, zijn slechts twee bulletins beoordeeld als "kritisch", de hoogste ernstgraad, zei Microsoft in haar patch dinsdag kennisgeving advies. De resterende patches worden als 'belangrijk' beoordeeld, wat meestal betekent dat aanvallers de fout niet kunnen exploiteren zonder de deelname van de gebruiker.
"Hoewel 10 patches met 33 kwetsbaarheden een hoog aantal lijken, is het niet allemaal slecht nieuws voor IT, " zei Paul Henry, beveiligings- en forensisch analist bij Lumension.
Oplossingen voor Internet Explorer
Beide kritieke patches zijn voor Internet Explorer. De grote vraag voor de patch dinsdag van deze maand was of Microsoft de onlangs gerapporteerde zero-day in Internet Explorer 8 zal repareren. Microsoft heeft vorige week een tijdelijke oplossing uitgebracht en vandaag een volledige patch (MS13-038) gevolgd.
"Het is een opluchting om te zien dat Microsoft dit zo snel heeft aangepakt, omdat het actief wordt uitgebuit, " zei Henry.
De andere IE-patch (MS13-037) is een cumulatieve update voor IE-versies 6, 7, 8, 9 en 10 en sluit 11 verschillende kwetsbaarheden, waaronder de kwetsbaarheden die zijn gemeld tijdens de Pwn2Own-competitie in maart.
"Op één niveau is dit Microsoft op hun best, " vertelde Ross Barrett, senior manager van security engineering bij Rapid7, aan SecurityWatch . Het bedrijf reageerde snel om een openbare waarschuwing over het probleem te geven, een tijdelijke oplossing te verwijderen en vervolgens het lek te dichten als onderdeel van een geplande update, allemaal binnen 11 dagen.
Aan de andere kant benadrukt het feit dat Microsoft vrijwel elke maand kritische Internet Explorer-patches uitgeeft, wat er mis is met de manier waarop Microsoft met patches en oudere software omgaat, zei Barrett. De Chrome-browser van Google wordt daarentegen automatisch bijgewerkt wanneer er fixes beschikbaar komen en er is geen "oude versie" van de browser om u zorgen over te maken. Microsoft verbindt middelen om de oudere versies te onderhouden en gebruikers bloot te stellen aan risico's, zei Barrett.
Andere Bulletins om op te merken
Het andere opmerkelijke bulletin gaat over een denial-of-service-situatie die de HTTP-client en -server in Windows beïnvloedt (MS13-039). Het probleem is alleen van toepassing op nieuwere versies van Windows, met name Windows Server 2012. Aanvallen die misbruik maken van dit beveiligingslek kunnen "potentieel zeer storend zijn", omdat veel externe services en Active Directory-integraties afhankelijk zijn van http.sys, zei Barrett.
"Alle IT-beveiligingsteams moeten hier snel op inspelen, aangezien een exploit waarschijnlijk zeer snel zal worden ontwikkeld. Een succesvolle exploit kan een DoS veroorzaken op getroffen servers die tijdelijke uitval veroorzaken", zegt Lamar Bailey, directeur van beveiligingsonderzoek en -ontwikkeling bij Tripwire.
Microsoft lost kwetsbaarheden in verschillende Office-producten op, zoals externe code-bugs in Microsoft Lync - voorheen Communicator - (MS13-041) en 11 geheugenbeschadigingsproblemen in Publisher (MS13-042) en bugs in Microsoft Word en Excel (MS13- 042). Het beveiligingslek met Lync kan alleen worden misbruikt als twee gebruikers in een Lync-sessie schadelijke inhoud delen. "Hopelijk heeft geen van uw gebruikers Lync-gesprekken met iemand die uw systemen probeert aan te vallen, in welk geval u in orde zou moeten zijn, " zei Henry.
De kwetsbaarheid voor spoofing en authenticatie in.NET (MS13-040) heeft geen invloed op de standaardconfiguratie. Een ander bulletin ging over kwetsbaarheden bij het vrijgeven van informatie in Windows Essentials 2012 (MS13-045). Microsoft heeft ook drie lokale fouten met betrekking tot misbruik van bevoegdheden opgelost in stuurprogramma's in de Windows-kernelmodus (MS13-046). De ernstigste van de bugs treft Windows XP en laat aanvallers processen uitvoeren in een verhoogde context.
"Zorg ervoor dat u Internet Explorer (MS13-037 en MS13-038) zo snel mogelijk patcht, samen met MS13-039 op internet-webservers, gevolgd door de rest van de patches", zegt Marc Maiffret, CTO van BeyondTrust.
