Video: Miss Spider | Giddy Up Bugs / A Plushy Parable - Ep.34 (September 2024)
Microsoft hat im Rahmen von July's Patch Tuesday sieben Bulletins veröffentlicht, mit denen 34 einzelne Fehler in.NET Framework, dem Windows-Kernel und Internet Explorer behoben wurden. Es gibt auch eine neue 180-Tage-Richtlinie für den Microsoft-Markt in Bezug auf Apps mit Sicherheitslücken.
Von den sieben Bulletins werden sechs als kritisch eingestuft, und eines wurde als wichtig eingestuft, teilte Microsoft in der am gestrigen Nachmittag veröffentlichten Patch Tuesday-Empfehlung mit. Microsoft hat empfohlen, zuerst das IE-Bulletin (MS13-055) und anschließend einen der Bulletins für Windows-Kernelmodustreiber (MS13-053) zu installieren. Die verbleibenden TrueType- und Windows-Bulletins befanden sich in der nächsten Prioritätsgruppe, gefolgt vom einzigen "wichtigen" Patch.
"Alles in der Microsoft-Kernwelt ist von einem oder mehreren dieser Faktoren betroffen: jedes unterstützte Betriebssystem, jede Version von MS Office, Lync, Silverlight, Visual Studio und.NET", sagte Ross Barrett, Senior Manager für Sicherheitstechnik bei Rapid7.
Windows 8.1 Preview und IE 11 sind von keinem dieser Bulletins betroffen.
Hässliche, hässliche Schriften
Drei separate Bulletins (MS13-052, MS13-053 und MS13-054) haben die Sicherheitsanfälligkeit bezüglich TrueType-Schriftarten in.NET behoben. Dieser TrueType-Font-Bug ähnelt dem von Stuxnet und Duqu ausgenutzten, mit der Ausnahme, dass er in.NET und nicht im Windows-Kernel vorhanden ist, sagte Marc Maiffret, CTO von BeyondTrust.
MS13-054 behebt die TrueType-Sicherheitsanfälligkeit in GDI +, einer Komponente im Windows-Kernel. Der Fehler betrifft mehrere Produkte, einschließlich aller unterstützten Versionen von Windows, Office 2003/2007/2010, Visual Studio.NET 2003 und Lync 2010/2013. Maiffret sagte voraus, dass dieser Fehler in naher Zukunft von Angreifern ausgenutzt werden wird, da so viele Produkte GDI + verwenden.
"MS13-053 ist das Schlimmste in der Gruppe", sagte Tommy Chin, technischer Support-Ingenieur bei CORE Security. Angreifer können potenzielle Opfer sozial manipulieren, um eine gestaltete Datei mit böswilligem TrueType-Inhalt anzuzeigen. Bei Erfolg erhalte der Angreifer Administratorzugriff auf das betroffene System, so Chin.
In diesem Bulletin wird auch die Zero-Day-Sicherheitsanfälligkeit im Windows-Kernel behoben, die der Sicherheitsforscher Tavis Ormandy entdeckt hat. Da Exploits für diese Sicherheitsanfälligkeit bereits in öffentlichen Frameworks wie Metasploit enthalten sind, sollte dies hohe Priorität haben
Internet Explorer
Das massive Update von Internet Explorer behebt 17 Schwachstellen, von denen 16 Sicherheitslücken in Bezug auf Speicherbeschädigung und eine einen Fehler beim Cross-Site-Scripting darstellen. Speicherfehler können bei Drive-by-Angriffen auftreten, bei denen Angreifer böswillige Webseiten einrichten und mithilfe von Social-Engineering-Taktiken Benutzer auf die böswilligen Seiten lenken. Maiffret bemerkte, dass in den letzten paar Patch-Dienstagen im Internet Explorer viele Speicherfehler aufgetreten sind. "Es ist unbedingt erforderlich, dass dieser Patch so bald wie möglich veröffentlicht wird."
Microsoft Marketplace-Richtlinienänderung
Microsoft kündigte auch eine Richtlinienänderung in Bezug auf den Microsoft-Marktplatz an. Nach der neuen Richtlinie hat jede App in einem der vier von Microsoft betriebenen App Stores (Windows Store, Windows Phone Store, Office Store und Azure Marketplace) 180 Tage Zeit, um Sicherheitsprobleme zu lösen. Die Zeitleiste gilt für Schwachstellen, die als kritisch oder wichtig eingestuft werden und nicht angegriffen werden.
Wenn es nicht innerhalb dieses Zeitraums gepatcht wird, wird die App aus dem Store entfernt, sagte Microsoft. Die Richtlinie gilt sowohl für Anwendungen von Drittanbietern als auch von Microsoft.
"Microsoft unternimmt einen großen Schritt, um anfällige Anwendungen in den verschiedenen App Stores zu minimieren", sagte Craig Young, ein Sicherheitsforscher bei Tripwire.
Es ist jedoch erwähnenswert, dass 180 Tage eine lange Zeit sind, sodass es sehr unwahrscheinlich ist, dass Microsoft jemals eine App abruft. Es ist unwahrscheinlich, dass ein Entwickler länger als sechs Monate damit verbringt, eine kritische Sicherheitsanfälligkeit zu beheben. Wenn das Update länger dauert als erwartet, ist Microsoft bereit, Ausnahmen zu machen.
In Anbetracht dessen klingt die neue Richtlinie nach einer Möglichkeit für Microsoft, hart zu klingen, ohne die Entwickler zu beeinträchtigen.
Mehr voraus
Dies wird ein arbeitsreicher Monat für Administratoren. Adobe hat seine eigenen Updates veröffentlicht, und Oracle wird nächste Woche sein vierteljährliches Update seiner gesamten Software mit Ausnahme von Java veröffentlichen.
