セキュリティウォッチ マイクロソフトは、4月のパッチ火曜日の重大なバグを修正します

マイクロソフトは、4月のパッチ火曜日の重大なバグを修正します

ビデオ: Grimes & i_o - Violence (Official Video) (十一月 2024)

ビデオ: Grimes & i_o - Violence (Official Video) (十一月 2024)
Anonim

春熱のWindows管理者は喜ぶことができます。 Microsoftは、Patch Tuesdayリリースの一部として2つの重要なセキュリティ情報のみをリリースしました。

今月リリースされた9つのセキュリティ情報のうち、クリティカルと評価されているのは2つだけです。これは、攻撃者がターゲットのマシンをリモートで制御できることを意味します。 残りのすべては重要であると評価されています。つまり、攻撃者は通常、システムを引き継ぐ前に何らかのアクセスが必要です。 全体として、Microsoftは今月、13のセキュリティ脆弱性に対処しました。

Lumensionのセキュリティアナリスト、Paul Henry氏によると、朗報は、ほとんどの影響がMicrosoft製品の最新バージョンではなく、レガシーコードベースにあるということです。 「システムがソフトウェアの最新かつ最高のバージョンを実行している場合-常にそうであるように、通常は最新のものが最も安全であるため-今月の影響は最小限に抑える必要があります」と彼は言いました。

最優先事項としてのIE

今月の最優先のセキュリティ情報はInternet Explorerの更新プログラム(MS13-028)です。これは、IE 6からIE 10へのWebブラウザーのすべてのサポートされているバージョンでの解放後使用の問題を修正します。コード実行。 また、このセキュリティ情報では、Java 6.0以前のバージョンがインストールされているユーザーに依存する多層防御の問題も解決しました。

「最近Javaにあった問題の数を考えると、誰もJavaの古いバージョンをまだ実行していないことを願っています」とヘンリーは警告しました。

MicrosoftのPatch Tuesday通知アドバイザリーによると、優先度インデックスは2であり、悪用パッチは単純ではないため、Microsoftは今後30日以内に機能する悪用を見ることはないと考えています。

「攻撃者はこれらの2つの脆弱性を悪用する方法を検討します。攻撃者はいくつかの脆弱性を使用するだけでInternet Explorerの複数のバージョンを標的にすることができるため、できるだけ早くこのパッチを展開することが重要です」とCTOのMarc Maiffret氏は述べていますBeyondTrustの。

マイクロソフトは、先月バンクーバーで開催されたCanSecWestカンファレンスで行われたPwn2Ownコンテストで明らかにされたゼロデイ脆弱性を修正していません。

危険にさらされたリモートデスクトップ、再び

2番目の優先事項は、リモートデスクトップクライアントソフトウェアのActiveXコントロール(MS13-029)のパッチで、これはすべてのWindowsバージョンに影響し、「Windows RDPで通常見られる問題の種類ではありません」とヘンリーは言います。

攻撃者は、悪意のあるActiveXコントロールをホストしているWebサイトに被害者をだまして、この脆弱性を悪用できます。 訪問者がサイトに着くとすぐに、コードは脆弱性を悪用して、あたかもユーザーであるかのように任意のコードを実行できるようになるとMaiffretは指摘しました。

QualysのCTOであるWolfgang Kandek氏は、次のように述べています。

「重要」ではなく「重要」

また、セキュリティの専門家は、今月、特別な注意を払うために、いくつかの他の「重要な」速報にフラグを立てました。 Kandek氏によると、Active Directory(MS13-032)のサービス拒否のバグは「エンタープライズインストールのリストの上位」にあるはずです。 攻撃者は、脆弱性をトリガーする悪意のあるLDAPクエリを送信し、システムのメモリを使い果たし、サービス不能を引き起こす可能性があります。

Microsoft InfoPath、Groove Server、SharePoint FoundationおよびServer、および "Office Web Apps 2010"(MS13-035)に影響を与える特権の昇格の問題も、これらのHTMLサニタイズコンポーネント内の問題を修正するため、リストの上位に位置するはずです。 Rapid7のセキュリティエンジニアリングのシニアマネージャー、Ross Barrett氏は述べました。 悪用に成功した場合、攻撃者は通常許可されていないスクリプトを実行し、制限されたデータを読み取り、被害者の権限で不正なアクションを実行できます。

この脆弱性は公開されていませんでしたが、標的型攻撃は既にその脆弱性を悪用しているようです。

マイクロソフトは最大の心配ではない

長い間、MicrosoftはITの頭痛の主な原因ではありませんでした。 アドビは本日、Flash Playerの8つの問題を修正しました。IT管理者は、現在4月16日に予定されている新しいJavaアップデートに備えてください。

マイクロソフトは、4月のパッチ火曜日の重大なバグを修正します