Video: Choosing a Stack For Your Web Application (November 2024)
Het is een trifecta van softwarepatches, waarbij Microsoft, Adobe en Oracle allemaal beveiligingsupdates op dezelfde dag uitbrengen.
Zoals verwacht begon Microsoft 2014 met een vrij lichte patch dinsdag release, die zes niet zo kritieke kwetsbaarheden in vier beveiligingsbulletins oploste. Op dezelfde dag bracht Adobe twee kritieke updates uit om drie kritieke fouten bij het uitvoeren van externe code op te lossen in Adobe Reader, Acrobat en Flash. Een plannende gril betekende dat Oracle's driemaandelijkse kritieke patch-update ook op dezelfde dinsdag viel, wat resulteerde in een groot aantal patches voor IT-beheerders om mee om te gaan. Oracle lost 144 kwetsbaarheden op in 40 producten, waaronder Java, MySQL, VirtualBox en zijn vlaggenschip Oracle-database.
"Hoewel Microsoft slechts vier updates uitbrengt, is er genoeg werk voor IT-beheerders vanwege releases van Adobe en Oracle, " zei Wolfgang Kandek, CTO van Qualys.
De Java-patches van Oracle moeten de hoogste prioriteit hebben, gevolgd door de Adobe Reader- en Flash-adviezen, en vervolgens de updates voor Microsoft Word en XP, aldus experts.
Oracle neemt op Java
Zelfs als rekening wordt gehouden met het feit dat Oracle driemaandelijks patcht en meer producten repareert, is deze CPU nog steeds een recordbreker in het aantal opgeloste problemen. Van de 144 beveiligingsfouten kunnen 82 als kritiek worden beschouwd omdat ze op afstand kunnen worden geëxploiteerd zonder authenticatie.
Het merendeel van de kwetsbaarheden in de gigantische CPU van Oracle bevonden zich in Java v7. Oracle lost 34 externe uitvoeringsfouten op, met verschillende scores 10 op de schaal van Common Vulnerability Scoring System. CVSS geeft de ernst van de fout aan en de kans dat de aanvaller volledige controle over het systeem krijgt.
Java was een van de meest aangevallen software in 2013 en experts waarschuwden dat het een populair doelwit zal blijven. Als u het niet gebruikt, verwijdert u het. Als u Java moet hebben geïnstalleerd, schakel het dan tenminste uit in de webbrowser, omdat alle aanvallen tot nu toe de browser hebben aangevallen. Als u toegang hebt tot webtoepassingen die Java vereisen, bewaar deze dan in een andere webbrowser dan uw standaardbrowser en schakel indien nodig. Als u het niet nodig hebt, bewaar het dan niet. Als u het toch houdt, moet u onmiddellijk patchen.
Oracle heeft ook vijf beveiligingsfouten in zijn eigen Oracle-database opgelost, waarvan er één op afstand kan worden misbruikt, en 18 kwetsbaarheden in MySQL. Drie van die bugs konden op afstand worden aangevallen en hadden de maximale CVSS-score van 10. Serversoftware Solaris had 11 fouten, waaronder een die op afstand kon worden aangevallen. De meest serieuze Solaris-bug had een CVSS-score van 7, 2. De CPU loste negen problemen op in Oracle Virtualization Software, waaronder virtualisatiesoftware VirtualBox, waarvan er vier op afstand konden worden geactiveerd. De maximale CVSS-score was 6, 2.
Als u een van deze producten gebruikt, is het belangrijk om ze onmiddellijk bij te werken. MySQL wordt veel gebruikt als back-endsysteem voor een aantal populaire CMS- en forumsoftware, waaronder WordPress en phpBB.
Reader en Flash Fixes
Adobe lost beveiligingsproblemen op in Adobe Flash, Acrobat en Reader, waardoor aanvallers totale controle over het doelsysteem zouden krijgen. De aanvalsvector voor de Acrobat- en Reader-bug was een schadelijk PDF-bestand. De Flash-fout kan worden misbruikt door kwaadaardige webpagina's te bezoeken of documenten met ingesloten Flash-objecten te openen.
Als u achtergrondupdates hebt ingeschakeld voor Adobe-producten, moeten de updates naadloos zijn. Gebruikers met Google Chrome en Internet Explorer 10 en 11 hoeven zich geen zorgen te maken over de nieuwe versie van Flash, omdat de browsers de software automatisch bijwerken.
Lichte Microsoft Update
Microsoft heeft een kwetsbaarheid voor bestandsindelingen in Microsoft Word (MS14-001) opgelost die op afstand kan worden misbruikt als de gebruiker een Word-bestand met booby-traps opent. Het is van invloed op alle Microsoft Word-versies op Windows, inclusief Office 2003, 2007, 2010 en 2013, evenals Word-documentviewers. Mac OS X-gebruikers worden niet beïnvloed.
De zero-day kwetsbaarheid (CVE-2013-5065) die van invloed is op Windows XP en Server 2003-systemen die afgelopen november in het wild is ontdekt, is eindelijk hersteld (MS14-002). Hoewel het privilege-escalatiefout in NDProxy niet op afstand kan worden uitgevoerd, moet het hoge prioriteit hebben, omdat het kan worden gecombineerd met andere kwetsbaarheden. De aanvallen in november gebruikten een kwaadaardig PDF-document om eerst een fout in Adobe Reader (die in mei 2013 in APSB13-15 werd gepatcht) te activeren om toegang te krijgen tot de Windows-kernelbug. Microsoft heeft een soortgelijk privilege-escalatiefout opgelost in Windows 7 en Server 2008 (MS14-003).
"Als u zich zorgen maakt om 002 en niet om 003, zult u waarschijnlijk in april tegen problemen aanlopen wanneer de ondersteuning voor Windows XP eindigt, " zei Rapid7.
Op zichzelf zijn deze kwetsbaarheden misschien niet kritisch, maar gecombineerd kunnen ze veel ernstiger zijn, waarschuwde Trustwave. Als een campagne die een kwaadaardig Office-document gebruikt, code uitvoert die is gericht op de fout met betrekking tot misbruik van bevoegdheden, "dan is een phishing-e-mail naar een nietsvermoedende gebruiker alles wat nodig is", aldus het team.
