תיקון יום שלישי: אבטחה המוקד כמו Microsoft, Oracle Patch Bugs

מיקרוסופט בעטה דברים ביום שלישי בבוקר עם 11 עדכוני אבטחה, כולל תיקונים עבור באגים אבטחה קריטיים ב- Windows Active Directory, Internet Explorer, Excel ו- Microsoft Host Integration Server, המשלב מחשבים עם מחשבי Windows עם מחשבי מיינפריים של IBM.

מומחי אבטחה אומרים כי העדכון של Internet Explorer, אשר מתקן שישה באגים בדפדפן, הוא זה שיצפה בו. הסיבה לכך היא שהיא מדורגת עבור משתמשי Internet Explorer 6 שבהם פועל Windows XP - תצורה נפוצה מאוד בארגון.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

אך לקוחות המשתמשים ב- Windows Active על ספריית Windows 2000 יש להעביר את העדכון MS08-060 Active Directory לראש תור התיקון שלהם, אמר דון ליאתאם, מנהל פתרונות ואסטרטגיה ב- Lumension Security. מאחר שניתן להשתמש בשרת Active Directory כדי לקבוע הרשאות על מחשבים אחרים ולנהל משתמשים ברשת, השתלטות על המכונה הזו תהיה "הגביע הקדוש" עבור מישהו שמנסה להיכנס לחברה ולשבש אותה לחלוטין ", אמר. בדרך כלל, שרתי Active Directory חסומים בחומת האש, מה שאומר שתוקף יצטרך כנראה להיות ברשת פנימית כדי לבצע פיגוע, אמר אריק שולצה, קצין הטכנולוגיה הראשי של Shavlik Technologies. "באג" פירושו שכל משתמש פנימי וממורמר יכול לקבל שליטה מלאה על תחומים של Windows 2000 ובבקרי תחום ", הוא אומר בהודעה מיידית. [

] עם זאת, מקטיגאטינג דאגה זו היא העובדה שלמיקרוסופט לא היו דיווחים על כך הפגיעות נוצלה בהתקפה. אף על פי שסביר להניח שתוקף עלול לקרוס את מחשב Windows 2000 על ידי ניצול באג זה, "קשה ליצור קוד ניצול פונקציונלי למינוף ביצוע קוד מרחוק", אמרה מיקרוסופט בפתק באתר האינטרנט שלה.

בסך הכל, 20 באגים אבטחה נקבעו בעדכוני 11 של מיקרוסופט. היו גם שישה עדכונים פחות קריטית, דורגו "חשובים" על ידי מיקרוסופט, עבור רכיבי Windows שונים, ותיקון "מתון" שתקן באג שיכול לתת לתוקף לחטט מידע ממשתמש של Office.

עדכוני האבטחה של Oracle, צפוי בשעה 13 שעון האוקיינוס ​​השקט, יכלול תיקונים ל -36 באגים במגוון של מוצרי Oracle, כולל מאגר הדגל של החברה, שרת היישומים שלה, E-Business Suite ושרת הפיתוח של WebLogic. תיקוני באגים מתוכננים גם עבור מוצרי JD Edwards ו- PeopleSoft של החברה.

זה יוצא דופן עבור מיקרוסופט ואורקל לדחוף את התיקונים באותו יום. עדכוני האבטחה של מיקרוסופט יצאו ביום שלישי השני של כל חודש, הידוע בשם תיקון יום שלישי בתעשייה. אבל התיקונים של אורקל הם פרשה רבעונית, שנמסרה ביום שלישי הקרוב ביותר לאמצע החודש. בדרך כלל, זה מעמיד את תיקוני אורקל ביום שלישי השלישי של החודש, אבל החודש, התאריך של מיקרוסופט ושל אורקל מתכנסים.

עדכוני מיקרוסופט של יום שלישי הגיעו עם קצת יותר מידע עבור לקוחות החברה. הם כללו סעיף חדש בשם "מדד הניצול", שנועד להקל על משתמשי Windows להבין אילו באגים הם ככל הנראה מנוצלים על ידי האקרים.

Microsoft דירגה כעת את כל עדכוני האבטחה שלה עם התיאורים הבאים: "עקבית לנצל קוד סביר", "לא עולה בקנה אחד על קוד סביר" או "פונקציה ניצול קוד סביר".

החברה אמרה כי קוד ניצול לרעה עבור באגים קריטיים Internet Explorer, Microsoft Host Integration Server ו - Excel עדכונים. אחד מבאגים של Internet Explorer, שעלול לאפשר לתוקף לזכות בהרשאות גבוהות במחשב של Windows, כבר נחשף בפומבי, אך הוא אינו נחשב לשימוש במתקפות בעולם האמיתי.עוד אחד: מיקרוסופט נתנה לשותפי אבטחה מסוימים גישה מוקדמת לעדכונים שלה החודש, כדי שיוכלו לגלגל את גילויי ההתקפה שלהם לתוך התוכנה שלהם, מאחר שהתיקונים פורסמו ביום שלישי.