Video: Windows updates Patch Tuesday and Bug fixing updates explained September 16th 2020 (November 2024)
Microsoft heeft zeven bulletins vrijgegeven die 34 unieke bugs repareren in.NET Framework, de Windows-kernel en Internet Explorer als onderdeel van de patch dinsdag van juli. Er is ook een nieuw beleid voor 180 dagen voor de Microsoft-markt met betrekking tot apps met beveiligingsfouten.
Van de zeven bulletins zijn er zes als kritiek beoordeeld, en één werd als belangrijk beoordeeld, zei Microsoft in zijn patch dinsdag-advies gisterenmiddag. Microsoft raadde aan eerst het IE-bulletin (MS13-055) te installeren, gevolgd door een van de bulletins voor Windows-stuurprogramma's voor de kernelmodus (MS13-053). De resterende TrueType- en Windows-bulletins bevonden zich in de volgende prioriteitsgroep, gevolgd door de enige "belangrijke" patch.
"Alles in de kernwereld van Microsoft wordt beïnvloed door een of meer van deze: elk ondersteund besturingssysteem, elke versie van MS Office, Lync, Silverlight, Visual Studio en.NET", aldus Ross Barrett, senior manager van security engineering bij Rapid7.
Windows 8.1 Preview en IE 11 worden door geen van deze bulletins beïnvloed.
Lelijke, lelijke lettertypen
Drie afzonderlijke bulletins (MS13-052, MS13-053 en MS13-054) hebben het beveiligingslek met betrekking tot TrueType-lettertypen in.NET opgelost. Deze TrueType-lettertypefout is vergelijkbaar met die van Stuxnet en Duqu, behalve dat deze aanwezig is in.NET en niet in de Windows-kernel, zei Marc Maiffret, CTO van BeyondTrust.
MS13-054 heeft het TrueType-beveiligingslek opgelost in GDI +, een onderdeel in de Windows-kernel. De fout treft meerdere producten, waaronder elke ondersteunde versie van Windows, Office 2003/2007/2010, Visual Studio.NET 2003 en Lync 2010/2013. Maiffret voorspelde dat deze fout door aanvallers in de nabije toekomst zal worden uitgebuit omdat zoveel producten GDI + gebruiken.
"MS13-053 is de slechtste van de groep, " zei Tommy Chin, een technische ondersteuningsingenieur bij CORE Security, en voegde eraan toe: "Het is externe code-uitvoering en escalatie van privileges in één." Aanvallers kunnen potentiële slachtoffers social engineeren om een vervaardigd bestand met kwaadaardige TrueType-inhoud te bekijken. Als het lukt, krijgt de aanvaller beheerderstoegang tot het getroffen systeem, zei Chin.
De zero-day kwetsbaarheid in de Windows-kernel ontdekt door beveiligingsonderzoeker Tavis Ormandy is ook opgelost in dit bulletin. Aangezien exploitaties voor dit beveiligingslek al zijn opgenomen in openbare kaders zoals Metasploit, zou dit hoge prioriteit moeten hebben
Internet Explorer
De enorme update van Internet Explorer loste 17 fouten op, waarvan 16 kwetsbaarheden voor geheugenbeschadiging en een cross-site scripting-bug. Geheugencorruptiefouten kunnen worden gebruikt bij drive-by-aanvallen waarbij aanvallers kwaadaardige webpagina's instellen en social engineering-tactieken gebruiken om gebruikers naar de kwaadaardige pagina's te trekken. Maiffret heeft de afgelopen paar patchdinsdagen in Internet Explorer veel bugs op het gebied van geheugenbeschadiging opgemerkt, en voegde eraan toe: "Het is absoluut noodzakelijk dat deze patch zo snel mogelijk wordt uitgerold."
Wijziging van Microsoft Marketplace-beleid
Microsoft heeft ook een beleidswijziging aangekondigd met betrekking tot de Microsoft-marktplaats. Volgens het nieuwe beleid krijgt elke app in een van de vier app-winkels van Microsoft (Windows Store, Windows Phone Store, Office Store en Azure Marketplace) 180 dagen om beveiligingsproblemen op te lossen. De tijdlijn is van toepassing op kwetsbaarheden die als kritiek of belangrijk worden beoordeeld en niet worden aangevallen.
Als het niet binnen die periode is gepatcht, wordt de app uit de winkel verwijderd, zei Microsoft. Het beleid is van toepassing op applicaties van zowel externe ontwikkelaars als Microsoft.
"Microsoft zet een grote stap in de richting van het minimaliseren van kwetsbare applicaties in hun verschillende app-winkels, " zei Craig Young, een beveiligingsonderzoeker bij Tripwire.
Het is echter vermeldenswaard dat 180 dagen lang is, waardoor het zeer onwaarschijnlijk is dat Microsoft ooit een app zal trekken. Een ontwikkelaar zal waarschijnlijk niet meer dan zes maanden besteden aan het oplossen van een kritieke kwetsbaarheid, en als de update langer duurt dan verwacht, is Microsoft bereid uitzonderingen te maken.
Overwegend klinkt het nieuwe beleid als een manier voor Microsoft om hard te klinken zonder de ontwikkelaars nadelig te beïnvloeden.
Meer vooruit
Dit wordt een drukke maand voor beheerders. Adobe heeft zijn eigen updates uitgebracht en Oracle zal volgende week zijn driemaandelijkse update van al hun software uitbrengen, behalve Java.
