CS50 Live, Episode 007
תוכן עניינים:
- NCircle ממליץ לארגונים ליישם את שני תיקוני Internet Explorer הקריטיים תחילה . "שני החרקים האלה הם סיכונים ביטחוניים חמורים, ולכן הם תוקפים את כולם ומכניסים אותם מהר", כתב סטורם. שני המדבקות הקריטיות מכסות את גרסאות 6 עד 10 של הדפדפן.
- Microsoft Exchange הוא מוקד העדכון הקריטי החמישי.
- מבין שבעת "העדכונים החשובים", שניים הם עבור Windows Server, אחד עבור מהדורות שולחן העבודה של Windows ושניים עבור השרת או מהדורת שולחן העבודה של Windows . אחד העדכונים החשובים הוא למסגרת .Net, והשני הוא עבור החלק 'שרת חיפוש מהיר' של SharePointNCircle ביים את המשתמשים של VMware ESXi hypervisor כדי לבחון מקרוב את MS13-014, המתאר כיצד פעולות NFS (שרת קבצים ברשת) הפועלות תחת Windows Server 2008 R2 ו- Windows Server 2012 עלולות להיות חשופות להתקפה של מניעת שירות. "זה יש פוטנציאל להרוס את התשתית הווירטואלית שלך אם הכל מותקן באמצעות Windows NFS מניות", כתב טיילר Reguly, מנהל טכני nCircle של מחקר ופיתוח אבטחה, בהודעת דוא"ל.
בנוסף לכיסוי Windows ו- Internet Explorer, חבילת העדכונים החודשית האחרונה של Microsoft מכסה את Exchange Server הנפוץ, הן במהדורות Exchange Server 2007 והן במהדורות Exchange Server 2010.
Microsoft נמסר בחודש שעבר על תיקון מפלצת בגודל זה … זה מספיק כדי להפוך את הראש שלך לסחרור ", כתב אנדרו סטורמס, מנהל פעולות האבטחה של חברת האבטחה nCircle, בהודעת דואר אלקטרוני. בסך הכל, פרסמה מיקרוסופט 12 עדכוני אבטחה, המכסים 57 נקודות תורפה, אחת של ערכות הגדול ביותר של עדכוני אבטחה החברה פרסמה אי פעם. [
[קרא עוד: כיצד להסיר תוכנות זדוניות מהמחשב Windows]
מיקרוסופט מתויג חמישה מתוך 12 עדכונים קריטיים, ואת התווית ד 7 הנותרים חשובים.מנהלי מערכות המפקחים על פריסות Microsoft Exchange צריכים לבחון מקרוב את תיקוני האבטחה האחרונים של Microsoft.
תיקון IE הראשון
NCircle ממליץ לארגונים ליישם את שני תיקוני Internet Explorer הקריטיים תחילה. "שני החרקים האלה הם סיכונים ביטחוניים חמורים, ולכן הם תוקפים את כולם ומכניסים אותם מהר", כתב סטורם. שני המדבקות הקריטיות מכסות את גרסאות 6 עד 10 של הדפדפן.
"שני העלונים מתקנים 'באגים של כונן' המחייבים רק את הקורבן לגלוש באתר אינטרנט כדי להיות נגוע בקוד זדוני", כתב סטורמס. עלון אבטחה מס 'MS13-010 מתאר פגיעות ביישום Internet Explorer של Vector Markup Language (VML), שעלולה לאפשר ביצוע קוד מרחוק. פגיעות זו כבר בשימוש בהתקפה אחת, ומתקפות נוספות צפויות במהלך 30 הימים הבאים, על פי Microsoft.
גם ב- MS-139 מתוארת ב- Internet Explorer 13, 13 פגיעויות שונות המקובצות יחד בעדכון אחד, מכיוון שהן נמצאים בקטעים חופפים של בסיס הקוד של הדפדפן. מיקרוסופט מצפה שפגיעויות אלה ינוצלו גם בתוך 30 הימים הבאים.
NCircle גם יעץ כי בנוסף לסייר התיקון, על מנהלי מערכת להחיל תיקונים ש- Adobe פרסמה ביום שלישי עבור Flash, ואם משתמשים בו, Shockwave. אם יש לך רק זמן לעשות את המינימום המוחלט, עליך לתקן את Internet Explorer ו- Flash באופן מיידי ", כתב סטורמס.
עדכוני Windows
ל- Windows יש שני עדכונים קריטיים. עבור Windows XP, Windows Server 2003, Windows Vista ו- Windows Server 2008, MS13-011 מטפל בפגיעות קריטית ב- Windows Media Player שתאפשר לקוד המוטבע בקובץ מדיה לבצע בעת דחיסת הקובץ על-ידי התוכנה. עבור Windows XP SP3, MS13-020 מתאר גם פגיעות שעלולה להוביל לביצוע קוד מרחוק, כזו שתתרחש אם המשתמש ייפתח, ב- Microsoft Word או ב- WordPad, ב- RTF (מסמך טקסט עשיר עם טקסט עשיר) פקד ActiveX מוטבע.
Microsoft Exchange Update
Microsoft Exchange הוא מוקד העדכון הקריטי החמישי.
בעוד ש- Windows ו- Explorer מתעדכנים פחות או יותר בכל חודש, המראה של פגיעות ב- Exchange הוא מעט יותר נדיר. עלון Microsoft MS13-012 מסביר את פגיעות Exchange. תוקף עלול לסכן את הפריסה של Microsoft Exchange על-ידי לחיצה על משתמש ב- Outlook Web Access על קובץ מצורף בעל מבנה זדוני. הפגיעות למעשה נובעת מספריה שסופקה על ידי Oracle, הנקראת Oracle Outside In, הממירה קבצים בפורמטים שונים, כך שניתן יהיה לראות אותם בדפדפן. לחיצה על הקובץ המצורף עלולה לגרום לקוד מוטמע לבצע בשרת.
מבין שבעת "העדכונים החשובים", שניים הם עבור Windows Server, אחד עבור מהדורות שולחן העבודה של Windows ושניים עבור השרת או מהדורת שולחן העבודה של Windows. אחד העדכונים החשובים הוא למסגרת.Net, והשני הוא עבור החלק 'שרת חיפוש מהיר' של SharePointNCircle ביים את המשתמשים של VMware ESXi hypervisor כדי לבחון מקרוב את MS13-014, המתאר כיצד פעולות NFS (שרת קבצים ברשת) הפועלות תחת Windows Server 2008 R2 ו- Windows Server 2012 עלולות להיות חשופות להתקפה של מניעת שירות. "זה יש פוטנציאל להרוס את התשתית הווירטואלית שלך אם הכל מותקן באמצעות Windows NFS מניות", כתב טיילר Reguly, מנהל טכני nCircle של מחקר ופיתוח אבטחה, בהודעת דוא"ל.
מיקרוסופט באופן שגרתי משחרר תיקוני אבטחה עבור התוכנה שלה ביום שני השני של כל חודש. יכולת הניבוי של תיקון יום שלישי, כפי שהיא מכונה לעתים קרובות, מאפשרת למנהלי מערכת להקצות זמן לעדכון המערכות שלהם. כמו בכל עדכון למערכות IT קריטיות, מומלץ למנהלי מערכת ליישם את העדכונים בסביבת בדיקה כדי לבדוק אינטראקציות בלתי צפויות עם חומרה או תוכנות אחרות. כל העדכונים באצווה של חודש זה עשויים לחייב הפעלה מחדש של המערכת.
עדכוני האבטחה יהיו זמינים במרכז ההורדות של Microsoft, דרך WSUS (Windows Server Update Services) ו, עבור הצרכנים, באמצעות תהליך Windows Update.
Foursquare רושמת 100 מיליון צ'ק אין Foursquare, שירות מבוסס הרשת החברתית מבוסס מיקום, רשם את "צ'ק-אין" 100 מיליון שקל שלו ביום שני הערב, אמר יום שלישי. "יום רביעי בערב, ביום רביעי בערב, נרשמה" צ'ק-אין "של 100 מיליון דולר, כך דיווחה החברה ביום שלישי. שירות, אשר ראה צמיחה מהירה בחודשים האחרונים. ב -23 ביוני הודיעה החברה כי היא צומחת בקצב של 100,000 משתמשים בכל 10 ימים - שיעור שיעמיד את מאגר המשתמשים הנוכחי ביותר מ -2 מיליון אנשים, בהנחה שהצמיחה תישאר יציבה במהלך החודש הא
Foursquare מתחבר למשתמשים עם חברים שלהם בעולם האמיתי בכך שהוא מאפשר להם לרשום את המיקום הנוכחי שלהם באמצעות הצ'ק אין. הצ'ק-אין משותפים עם חברים ולעתים קרובות עם זרים באמצעות שירותי רשתות חברתיות כמו Twitter. בדרך כלל ניתן לגשת באמצעות טלפון סלולרי מאובזר GPS, משתמשים יכולים לרשום מקומות חדשים אם האזור הנוכחי שלהם כבר לא במאגר של מאות אלפי מקומות.
תיקון יום שלישי משאיר את Internet Explorer יום אפס ללא שינוי
יש רק שני עלוני אבטחה קריטיים בחודש זה, אך יום אפס שהתגלה לאחרונה ב- Internet Explorer נותר פגיע.
Microsoft מטפלת ב- IE עם יום אפס עם עדכון יום שלישי של תיקון
Microsoft פרסמה 10 עלוני אבטחה עבור תיקון יום שלישי, כולל תיקון לניצול יום אפס שהתגלה לאחרונה עבור Internet Explorer.