Video: November Patch Tuesday - Pay attention to CVE-2020-17051(CVSS Base Score 9.8) (November 2024)
Microsoft kondigde acht bulletins aan voor de patch dinsdag van november, waarin 19 unieke kwetsbaarheden in Microsoft-software worden aangepakt, waaronder Internet Explorer, Hyper-V, de Graphics Device Interface (GDI), Office en andere. De zero-day kwetsbaarheid in Internet Explorer die FireEye tijdens het weekend heeft bekendgemaakt, is ook opgelost.
Van de adviezen zijn de drie meest kritieke patches de Interent Explorer-patch (MS13-088), GDI (MS13-089), en de zero-day fout in ActiveX-besturingselement die verschillende versies van Internet Explorer (MS13-090) beïnvloedde, beveiliging deskundigen gezegd.
"Bulletin MS13-090 lost het publiekelijk bekende probleem op in ActiveX Control, dat momenteel wordt aangevallen. Klanten met automatische updates zijn beschermd tegen dit beveiligingslek en hoeven geen actie te ondernemen", aldus Dustin Childs, groepsmanager van Microsoft Trustworthy Computing.
Status van nul dagen
Het beveiligingsteam van Microsoft heeft het een paar dagen druk gehad. Vorige week heeft beveiligingsbedrijf FireEye Microsoft op de hoogte gebracht van ernstige kwetsbaarheden in Internet Explorer, maar het lijkt erop dat het team deze al kende omdat de ActiveX-besturingspatch (MS13-090) de fout InformationCardSignInHelper heeft opgelost. Aanvallers hebben de bug al gericht in een aanval in de stijl van een gieter en exploit-code verscheen vanmorgen op de site voor het delen van tekst Pastebin, waardoor dit een probleem met hoge prioriteit was.
"Het is uiterst belangrijk om deze patch zo snel mogelijk uit te rollen", zegt Marc Maiffret, CTO van BeyondTrust.
Microsoft heeft ook een zero-day-kwetsbaarheid bekendgemaakt in de manier waarop sommige versies van Microsoft Windows en oudere versies van Microsoft Office met het grafische TIFF-formaat omgingen. Er is geen patch beschikbaar om deze fout op te lossen in deze patch dinsdag release, dus gebruikers die de tijdelijke oplossing van FixIt nog niet hebben geïnstalleerd, moeten overwegen dit zo snel mogelijk te doen.
"Risico- en hoogwaardige systemen zouden al een beperking moeten hebben", zegt Ross Barrett, senior manager beveiligingstechniek bij Rapid7.
Patches met hoge prioriteit
Een andere IE-patch (MS13-088) loste twee bugs met betrekking tot het vrijgeven van informatie en acht problemen met geheugenbeschadiging op in verschillende versies van de webbrowser. Twee van de beveiligingslekken treffen elke versie van IE, van versie 6 tot en met 11, de nieuwste versie. Hoewel aanvallen die misbruik maken van deze kwetsbaarheden nog niet zijn gemeld, betekent het feit dat zoveel versies van Windows en Internet Explorer zijn getroffen, dat deze patch zo snel mogelijk moet worden uitgerold.
Aanvallers zouden deze fouten kunnen misbruiken door een kwaadaardige webpagina te maken en gebruikers te overtuigen om de pagina te bekijken om een drive-by-download-aanval te activeren, zei Maiffret.
Het op twee na hoogste prioriteitsbulletin (MS13-089) lost een GDI-bug op die elke ondersteunde versie van Windows van XP tot Windows 8.1 beïnvloedt. Omdat aanvallers een schadelijk bestand moeten maken en gebruikers moeten overtuigen om het in WordPad te openen om misbruik te maken van dit beveiligingslek, is dit geen eenvoudig scenario voor bladeren en krijgen, waarschuwde Maiffret. Het is echter "nog steeds krachtig, omdat het elke versie van ondersteunde Windows beïnvloedt", zei hij.
De aanvaller krijgt hetzelfde privilege als de actieve toepassing die de GDI-interface gebruikt.
Duidelijke patches
Verschillende experts noemden de patch dinsdag van deze maand "straightfoward" omdat de fixes gericht waren op Windows, Internet Explorer en sommige Office-componenten. Er waren "niets esoterisch of moeilijk te patchen", zoals SharePoint-plug-ins of het.NET-framework, zei Barrett. De resterende patches hebben betrekking op kwetsbaarheden in verschillende versies van Microsoft Office (MS13-091), een beveiligingslek met betrekking tot het vrijgeven van informatie in nieuwere versies van Office (MS13-094), een probleem met misbruik van bevoegdheden in Hyper-V (MS13-092) in Windows 8 en Server 2012 R2, een fout bij het vrijgeven van informatie in Windows (MS13-093) en een probleem met denial of service (MS13-095) in het besturingssysteem.
"Al met al is het slechts een middelgrote patch-dinsdag, maar let vooral op de twee 0-dagen en de update van Internet Explorer. Browsers blijven het favoriete doelwit voor aanvallers en Internet Explorer, met zijn leidende marktaandeel, is er één van de meest zichtbare en waarschijnlijke doelen, "zei Wolfgang Kandek, CTO van Qualys.
