Week 7, continued
תיקון יום שלישי שוב. החודש שיחררה מיקרוסופט תשע עלוני אבטחה חדשים. תשע הוא מספר גבוה למדי של עדכונים, עם זאת, רק שניים מהם מדורגים כמו קריטי. אז, זה בעצם קצת יותר בחזרה מאשר רוב החודשים, אבל יש עדיין סיבה לדאגה.
ישנם שבעה עלוני אבטחה מדורג כחשוב, המשפיעים על מגוון של פלטפורמות ושירותים כולל Active Directory, הלקוח Windows Antimalware, ו Windows הקרנל. שני עלוני האבטחה הקריטיים חלים על Internet Explorer ועל שולחן עבודה מרוחק. להיות מוכן - רוב התיקונים דורשים אתחול מחדש.
וולפגנג קנדק, CTO של Qualys, מציע כי מנהלי IT להתמקד ב- Internet Explorer הראשון. "החודש, העלון החשוב ביותר שיש להחיל על התשתית שלך הוא MS13-028, המכיל מהדורה חדשה של Internet Explorer (IE) המכסה את כל הגירסאות של הדפדפן המתחילות ב- IE6 עם IE10, וגם ב- Windows RT, ההפעלה מערכת עבור התקנים ניידים וטאבלטים. "
[המשך קריאה: כיצד להסיר תוכנות זדוניות מהמחשב Windows]אנדרו סטורמס, מנהל פעולות אבטחה עבור nCircle (חברת טריפוויר), מסכים כי Internet Explorer ראוי לתשומת לב, אבל מוסיף כי Internet Explorer חסר הרגיל שלו "תיקון מיידי" דחיפות. מיקרוסופט הקצתה את הפגמים הבסיסיים של IE עם מדד שניצל מדד של שניים, דבר המצביע על כך שמיקרוסופט מאמינה כי קשה מאוד לנצל אותם, ואין סיכוי שתצליח לנצל את זה ב -30 הימים הבאים.
לא כל זה אור שמש ורדים, על פי מארק Maiferret, CTO של BeyondTrust. ראשית, הוא מציין כי הפגמים שנדונו בעדכון Internet Explorer משפיעים על כל הגירסאות הנתמכות של Internet Explorer, ומזהירים שתוקפים יעבדו בחריצות כדי לפתח ניצול עם מאגר גדול של מטרות פוטנציאליות.
Maiferret מציין גם כי עדכון Microsoft אינו מטפל בפגיעות שהתגלתה לאחרונה ב- Internet Explorer 9, דבר שעלול לאפשר לתוקף לעקוף פקדי אבטחה ולבצע פעולות מנצלות נוספות.
כמו תמיד, יש להחיל את כל התיקונים הרלוונטיים בהקדם האפשרי. לאחר התיקון הוא שוחרר, התוקפים יכולים להפוך אותו לאחור כדי להבין איך הפגיעות עובדת ולפתח לנצל את זה. זה גזע כדי לקבל את המחשבים שלך תוקנו לפני התוקפים לעצב לנצל, והמציאות היא כי רוב התקפות זדוניות להשתמש מנצל נגד נקודות תורפה ידועות אשר טלאים כבר פיתחו.
צרכנים ועסקים קטנים צריך לאפשר עדכונים אוטומטיים. עסקים שצריכים לבדוק ולאמת תיקונים לפני פריסתם צריכים להגיע לעבודה.
כצידה, Adobe פרסמה גם עדכונים עבור ColdFusion, Flash Player ו- Shockwave Player.
תיקון יום שלישי תיקונים חורים אפס חמור יום, מותיר עוד פתח
מחזור חודשי של מיקרוסופט תיקון סוגר שני פגמים תחת לתקוף מעורבים ActiveX ו QuickTime קבצים חורים אבטחה אחרים.
תיקון אפריל של מיקרוסופט יום שלישי לא מביא תיקון Pwn2Own
מנהלי מערכת מומחי אבטחה IT יכול לקחת קצת נשימה: מיקרוסופט פרסמה קבוצה אור יחסית של טלאים למהדורה זו של המהדורה החודשית שלה של תיקוני פגיעות תוכנה.
Microsoft מטפלת ב- IE עם יום אפס עם עדכון יום שלישי של תיקון
Microsoft פרסמה 10 עלוני אבטחה עבור תיקון יום שלישי, כולל תיקון לניצול יום אפס שהתגלה לאחרונה עבור Internet Explorer.