Video: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (November 2024)
Microsoft heeft vijf patches uitgebracht - twee beoordeeld als "kritiek" en drie als "belangrijk" - waarmee 23 kwetsbaarheden in Internet Explorer, Microsoft Windows en Silverlight zijn opgelost als onderdeel van de update van dinsdag van maart. De IE-patch sloot ook de zero-day kwetsbaarheid aanvallers die sinds februari misbruiken.
Aanvallers misbruikten vorige maand de kritieke zero-day kwetsbaarheid (CVE-2014-0322) in Internet Explorer 10 als onderdeel van Operation SnowMan, die de website van de Amerikaanse veteranen van buitenlandse oorlogen in gevaar bracht, en in een andere aanval die zich voordeed als een Fransman fabrikant van lucht- en ruimtevaart. De IE-patch (MS14-022) sluit deze fout en 17 andere, waaronder een die is gebruikt bij beperkte gerichte aanvallen op Internet Explorer 8 (CVE-2014-0324), Dustin Childs, een groepsmanager bij Microsoft Trustworthy Computing, schreef op het Microsoft Security Response Center-blog.
"Uiteraard zou de IE-update uw hoogste prioriteit moeten hebben, " zei Childs.
Problemen met Silverlight
De andere kritieke patch herstelt een kritieke fout bij het uitvoeren van externe code in DirectShow en is van invloed op meerdere versies van Windows. Het beveiligingslek zit in de manier waarop JPEG-afbeeldingen worden geparseerd door DirectShow, waardoor het waarschijnlijk is dat aanvallen die misbruik maken van deze fout schadelijke afbeeldingen invoegen in gecompromitteerde webpagina's of ingebed in documenten, zei Marc Maiffret, CTO van BeyondTrust. Het is vermeldenswaard dat gebruikers die met niet-beheerdersrechten lopen minder last hebben van deze aanvallen omdat de aanvaller beperkt is in de schade die hij of zij kan veroorzaken.
De bypass van de beveiligingsfunctie in Silverlight wordt als 'belangrijk' beoordeeld, maar moet ook een redelijk hoge prioriteit hebben. Aanvallers kunnen het lek misbruiken door gebruikers naar een kwaadwillende site te leiden die speciaal vervaardigde Silverlight-inhoud bevat, zei Microsoft. Wat gevaarlijk is, is dat aanvallers ASLR en DEP kunnen omzeilen, twee exploit mitigation-technologieën ingebouwd in Windows door misbruik te maken van dit beveiligingslek, waarschuwde Maiffret. Een aanvaller zou een secundaire exploit nodig hebben om externe code-uitvoering te bereiken na het omzeilen van ASLR en DEP om controle over het systeem te krijgen, zoals de ASLR-bypassfout die in december is gepatcht (MS13-106). Hoewel er momenteel geen aanvallen zijn waarbij deze fout in het wild wordt misbruikt, moeten gebruikers Silverlight blokkeren om in Internet Explorer, Firefox en Chrome te worden uitgevoerd totdat de patch wordt toegepast, zei Maiffret. Het is ook belangrijk om ervoor te zorgen dat oudere patches ook zijn geïmplementeerd.
Microsoft moet Silverlight opgeven omdat "het veel patches ziet gezien de beperkte acceptatie", stelde Tyler Reguly voor. Omdat Microsoft het tot ten minste 2021 zal blijven ondersteunen, zouden organisaties moeten beginnen weg te migreren van Silverlight, zodat "we allemaal Silverlight kunnen verwijderen en de beveiliging van systemen van eindgebruikers effectief kunnen verbeteren", voegde hij eraan toe.
Resterende Microsoft-patches
Een andere patch die eerder in plaats van later moet worden toegepast, is de patch die een paar beveiligingslekken aanpakt Windows Kernel Mode Driver (MS14-014), omdat deze alle ondersteunde versies van Windows beïnvloedt (voor deze maand, inclusief Windows XP). Om deze fout te misbruiken, moet de aanvaller 'geldige aanmeldingsreferenties hebben en zich lokaal kunnen aanmelden', waarschuwde Microsoft.
De laatste patch lost problemen op in het Security Account Manager Remote (SAMR) -protocol waarmee aanvallers Active Directory-accounts bruut kunnen forceren en niet uit het account kunnen worden vergrendeld. De patch herstelt die API-aanroep zodat Windows accounts correct vergrendelt wanneer ze worden aangevallen. "Vergrendelingsbeleid voor wachtwoordpogingen wordt specifiek ingevoerd om brute-force-pogingen te voorkomen en een kwaadwillende aanvaller het beleid te laten omzeilen, volledig de bescherming die het biedt, verslaat, " zei Reguly.
Andere software-updates
Dit is de week voor updates van het besturingssysteem. Apple heeft eerder deze week iOS 7.1 uitgebracht en Adobe heeft zijn Adobe Flash Player (APSB14-08) bijgewerkt om vandaag twee kwetsbaarheden te verhelpen. De problemen worden momenteel niet in het wild uitgebuit, zei Adobe.
Apple heeft een aantal belangrijke problemen in iOS 7 opgelost, waaronder een crashrapportageprobleem waarmee een lokale gebruiker machtigingen voor willekeurige bestanden op de getroffen apparaten kon wijzigen, een kernelprobleem dat een onverwachte systeembeëindiging of uitvoering van willekeurige code in de kernel mogelijk maakte en een bug waardoor een ongeautoriseerde gebruiker de vereisten voor het ondertekenen van codes op getroffen apparaten kon omzeilen. Apple heeft ook een bug opgelost die een aanvaller in staat zou kunnen stellen om een gebruiker te verleiden een kwaadaardige app te downloaden via Enterprise App Download en een andere waarmee een kwaadwillig vervaardigd back-upbestand het iOS-bestandssysteem kon wijzigen.
