Video: Aoe2 DE Bug Update: Spring 2020 - 166% Malay, x256 Bugs, 0 Communication (November 2024)
Vanmiddag heeft Microsoft acht beveiligingsbulletins uitgegeven die 23 kwetsbaarheden aanpakken in een aantal services, waaronder Windows, Internet Explorer en Exchange. Hiervan droegen er drie de hoogste score van Critical, terwijl de rest werd gemarkeerd als belangrijk.
Voor gebruikers die prioriteit willen geven aan hun patching, raadt Microsoft aan zich te concentreren op MS13-059 en MS13-060. Dat gezegd hebbende, moet je alles repareren zodra je dit kunt doen.
Lettertypeaanvallen en IE-kwetsbaarheden
Van die twee is Bulletin 059 een cumulatieve beveiligingsupdate voor Internet Explorer, die 11 privé openbaar gemaakte kwetsbaarheden behandelt. "Door de ernstigste kwetsbaarheden kan externe code worden uitgevoerd als een gebruiker een speciaal vervaardigde webpagina bekijkt met Internet Explorer", schrijft Microsoft. "Een aanvaller die met succes de meest ernstige van deze kwetsbaarheden misbruikt, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker."
Marc Maiffret, CTO bij BeyondTrust legt uit: "Alleen, het beveiligingslek staat geen code-uitvoering toe, maar zou in plaats daarvan worden gecombineerd met een ander beveiligingslek om code-uitvoering te verkrijgen met gebruikersrechten."
De IE-update is ook opmerkelijk voor het opnemen van een oplossing voor een kwetsbaarheid die door VUPEN Security wordt gebruikt bij de pwn2own-competitie van 2013. Zien? Al die concurrentie werpt zijn vruchten af.
Bulletin 060 heeft betrekking op een kwetsbaarheid in de Unicode-scriptprocessor, waardoor aanvallers lettertypeweergave als aanvalsvector kunnen gebruiken. We hebben vergelijkbare problemen gezien in de patch dinsdag-update van vorige maand.
QTO van Qualys Wolfgang Kandek legde aan SecurityWatch uit dat "de lettertypen op kernelniveau worden getekend, dus als u op een of andere manier de tekening van de lettertypen kunt beïnvloeden en overlopen." Dit zou, zei Kandek, een aanvaller controle over de computer van het slachtoffer geven.
Hoewel beperkt tot het Bangali-lettertype in Windows XP, is dit beveiligingslek vooral verontrustend vanwege de vele verschillende aanvalsmogelijkheden die het biedt. "Het is een zeer verleidelijke aanvalsvector", zegt Amol Sarwate, directeur van Qualys Vulnerability Labs. Het enige dat een aanvaller hoeft te doen, is een slachtoffer naar een document, e-mail of schadelijke webpagina verwijzen om het beveiligingslek te misbruiken.
Kritieke Exchange-kwetsbaarheid
Het derde kritieke bulletin heeft te maken met het uitvoeren van externe code op Microsoft Exchange-servers. Kandek vertelde SecurityWatch dat een aanvaller deze drie kwetsbaarheden kan misbruiken met een speciaal gemaakt PDF-bestand dat, wanneer het wordt bekeken - niet gedownload, de mailserver van het slachtoffer zou aanvallen.
Voorheen werden deze kwetsbaarheden bekendgemaakt door Oracle, waardoor de getroffen component wordt gemaakt. Gelukkig is er nog geen enkele uitvoering in het wild gezien, maar dat soortgelijke problemen in het verleden herhaaldelijk zijn hersteld. Maiffret schrijft dat twee van de kwetsbaarheden "binnen de WebReady Document Viewing-functie zitten, die we het afgelopen jaar meerdere keren hebben gepatcht (MS12-058, MS12-080 en MS13-012). Oracle blijft Microsoft en Exchange een consistent zwart oog."
Kandek merkt op: "het was heel gemakkelijk om kwetsbaarheden in dit softwarecomponent te vinden" en dat gebruikers moeten overwegen deze functie uit te schakelen naast het patchen van de software. Als u dit doet, moeten gebruikers e-mailbijlagen downloaden om ze te bekijken, wat mogelijk een kleine prijs is voor de beveiliging
Er zijn een paar andere extra's in de patchlijst van deze maand, waaronder een IPv6-kwetsbaarheid, en enige verhoging van bevoegdheden, denial of service en kwetsbaarheden bij het vrijgeven van informatie. Terwijl iedereen begint met patchen, maken we ons klaar voor de volgende ronde van bug-quashing.
