CS50 Live, Episode 007
היום היה תיקון סופי של מיקרוסופט יום שלישי 2009. מיקרוסופט פרסמה סך של שישה עלוני אבטחה חדשים, דחוף ביותר אחד המשפיע על ליקוי יום אפס ב- Internet Explorer שעבורו לנצל קוד כבר קיים. > מניעת כל בעיות אבטחה דחופות או ניצול מחזורי בטבע כדי לאלץ עדכון out-of-band, המספר הכולל של עלוני האבטחה לשנת 2009 הוא 74 - ירידה של 5% מתוך 78 עלוני האבטחה שפורסמו בשנת 2008.
דיל עם MS09-072 ראשון[לקריאה נוספת: הטריקים הטובים ביותר שלנו ב- Windows 10, עצות וצביטות]
מומחים מסכימים פה אחד שעלון האבטחה MS09-072, הכולל את עדכון האבטחה המצטבר עבור Internet Explorer, התיקון הדחוף ביותר שפורסם על ידי מיקרוסופט היוםאנדרו סטורמס, מנהל פעולות אבטחה עבור nCircle, אמר בהודעת דוא"ל "ציפוי החדשות של היום ממיקרוסופט הוא תיקון עבור באגים קריטיים יום אפס ב- Internet Explorer. הפגיעות הפכה להיות דאגה ביטחונית עליונה למשתמשים כאשר קוד ניצול הפך לציבורי. בהכרה באופי הקריטי של הבעיה, מיקרוסופט עשתה את התיקון בראש סדר העדיפויות, והעבירה אותו תוך שבועיים בערך. "
מומחה אבטחה נוסף של nCircle, מהנדס האבטחה הבכיר טיילר רגולי, הסכים כי" מספר אחד ברשימת המכות של כולם היום צריך להיות MS09-072, תיקון IE, שכן זה כולל תיקון של הפגיעות הנוכחית IE 0 יום. תיקון IE הוא תמיד קריטי אבל בהתחשב הניצול הציבורי, זה צריך להיות תוקנו מהר ככל האפשר.
דיברתי עם אמול סרוואט, מנהל מעבדי המחקר Qualys Vulnerabilities, אשר סיכם את זה "MS09-072 הוא בהחלט דחוף ביותר. הפגיעות פורסמה לפני שלושה שבועות, ולתוקפים היו שלושה שבועות לעבוד עם ההוכחה של המושג ולפתח ניצול מעשי, אם אתה יכול לעשות רק תיקון אחד, לעשות את זה. "
Reguly אמר כי מעבר MS09 -072 את שאר עלוני האבטחה של היום הם מעין מחית אקראית של תיקונים. הם מכילים את רוב האלפבית ואת מספר ראשי תיבות, המשפיעים על LSASS, ADFS ו- IAS. בתור התחלה, אבל אין שום דבר דחוף בעת תיקון Internet Explorer. ממליץ כי ארגונים ייקחו את הזמן כדי לבדוק כראוי את התיקונים הנותרים לפני הפריסה.
Internet Explorer Fail
ייתכן שלא שמתם לב, אך "עדכון מצטבר עבור Internet Explorer" הוא מקבע קבוע ברשימת החודשי של עלוני האבטחה ממיקרוסופט, ועד כמה שאני זוכר הוא תמיד מדורג כמו קריטי. ככל שיישומים ושירותים נוספים יופעלו ישירות מהענן, דפדפן האינטרנט יהפוך עוד יותר לעקב אכילס.
שוחחתי עם קצין הטכנולוגיה הראשי של Qualys וולפגנג קנדק, שציין כי אחוז ניכר של לקוחות Qualys עדיין מסתמכים על האינטרנט סייר 6. הוא הציע כי רוב החולשות מתמודדים ניתן לבטל על ידי פשוט אימוץ של Internet Explorer 8.
nCircle של סטורמס 'נקודות, עם זאת, כי "קוד מאובטח של מיקרוסופט שיטות פיתוח הולכים לבוא תחת בדיקה שוב כי IE של היום העדכון כולל תיקונים עבור שני ניצולים שלא היו ציבוריים בעבר, שמשפיעים רק על IE8, הדפדפן החדש ביותר של מיקרוסופט. "
סטורמס" מפורט "אין שום דרך עבור מיקרוסופט כדי למנוע את ההשערות כי באגים אלה היו צריכים להימצא במהלך פיתוח תוכנה אבל המציאות היא שזה היה חייב לקרות.כל מוצר יש באגים ותכונות יותר משטחים לתקוף יותר. "
אל תגרור את העצמי למטה
קנדק מרגיש כי מיקרוסופט מתמקדת בחומרה ב- Windows 7 וברצונה לשמור על העיניים שלה ועל היזמים שלה בעתיד, אבל לא ניתן להתעלם מהבסיס המסיבי של התקנות Windows XP. כמו מיקרוסופט אולי רוצה ללכת רחוק לתמוך במערכת ההפעלה מדור קודם, Windows XP עדיין יהיה בסביבה במשך זמן מה.
הערך שלה לציין כי Windows 7 לא הושפע ישירות על ידי כל אחד 12 עלוני אבטחה שפורסמו מאז זה פגע ברחובות. Windows 7 מושפע באופן פריורי מהבעיות של Internet Explorer שנדונו ב- MS09-072, וישנו את החיפושים המתמשכים על מה שגורם למסך המוות השחור המסתורי, אך עדיין לא הוכחנו פגמים של Windows 7.
בסך הכל, Internet Explorer 6 הוא כמו גבינה שוויצרית בהשוואה ל- IE8 מנקודת מבט ביטחונית. זה גם סיוט עבור מנהלי רשת ומשתמשים המנסים לעשות דברים כמו להציג דפי אינטרנט. דוח האבטחה האחרון של Microsoft הראה ש- Windows XP נמצא בסיכון גבוה ב -75% מאשר Windows 7. <
כחלש בהשוואה לשני המוצרים האלה בהשוואה למקבילים המודרניים יותר שלהם, ארגונים רבים עדיין מסתמכים עליהם. ארגונים אלה צריכים לבחון שוב את Windows 7 ואת Internet Explorer 8 ואת החיסכון הפוטנציאלי במונחים של תמיכה.
שימוש ב- Windows XP וב- Internet Explorer 6 ולאחר מכן להתלונן על האבטחה של מוצרי מיקרוסופט הוא כמו נהיגה במכונית שלך סביב גרירת סירה עוגן ולאחר מכן להתלונן כי אתה מקבל קילומטראז דלק גרוע.
טוני ברדלי טוויטים כמו
@PCSecurityNews, והוא יכול להיות קשר ב דף הפייסבוק
Foursquare רושמת 100 מיליון צ'ק אין Foursquare, שירות מבוסס הרשת החברתית מבוסס מיקום, רשם את "צ'ק-אין" 100 מיליון שקל שלו ביום שני הערב, אמר יום שלישי. "יום רביעי בערב, ביום רביעי בערב, נרשמה" צ'ק-אין "של 100 מיליון דולר, כך דיווחה החברה ביום שלישי. שירות, אשר ראה צמיחה מהירה בחודשים האחרונים. ב -23 ביוני הודיעה החברה כי היא צומחת בקצב של 100,000 משתמשים בכל 10 ימים - שיעור שיעמיד את מאגר המשתמשים הנוכחי ביותר מ -2 מיליון אנשים, בהנחה שהצמיחה תישאר יציבה במהלך החודש הא
Foursquare מתחבר למשתמשים עם חברים שלהם בעולם האמיתי בכך שהוא מאפשר להם לרשום את המיקום הנוכחי שלהם באמצעות הצ'ק אין. הצ'ק-אין משותפים עם חברים ולעתים קרובות עם זרים באמצעות שירותי רשתות חברתיות כמו Twitter. בדרך כלל ניתן לגשת באמצעות טלפון סלולרי מאובזר GPS, משתמשים יכולים לרשום מקומות חדשים אם האזור הנוכחי שלהם כבר לא במאגר של מאות אלפי מקומות.
תיקון אפריל של מיקרוסופט יום שלישי לא מביא תיקון Pwn2Own
מנהלי מערכת מומחי אבטחה IT יכול לקחת קצת נשימה: מיקרוסופט פרסמה קבוצה אור יחסית של טלאים למהדורה זו של המהדורה החודשית שלה של תיקוני פגיעות תוכנה.
Microsoft מטפלת ב- IE עם יום אפס עם עדכון יום שלישי של תיקון
Microsoft פרסמה 10 עלוני אבטחה עבור תיקון יום שלישי, כולל תיקון לניצול יום אפס שהתגלה לאחרונה עבור Internet Explorer.