ビデオ: Generation Iron (2013) - Trailer HD Legendado (十一月 2024)
マイクロソフトは、3つのパッチ火曜日更新の一部としてInternet Explorer、Microsoft Windows、およびSilverlightの23の脆弱性を修正する5つのパッチ(2つは「重要」、3つは「重要」)をリリースしました。 IEパッチは、攻撃者が2月から悪用してきたゼロデイ脆弱性も解決しました。
攻撃者は、先月Internet Explorer 10の重要なゼロデイ脆弱性(CVE-2014-0322)を操作SnowManの一部として悪用しました。これは、外国人退役軍人に属するWebサイトを侵害し、フランス人を装った別の攻撃で航空宇宙メーカー。 Internet Explorer 8(CVE-2014-0324)、Microsoft Trustworthy ComputingのグループマネージャーであるDustin Childsに対する限定的な標的型攻撃で使用されたものを含むIEパッチ(MS14-022)は、この欠陥と17個のその他の欠陥を閉じます。 、Microsoft Security Response Centerブログに投稿しました。
「明らかに、IEの更新は最優先事項である必要があります」とChildsは言いました。
Silverlightの問題
もう1つの重要なパッチは、DirectShowの重要なリモートコード実行の欠陥を修正し、Windowsの複数のバージョンに影響します。 BeyondTrustのCTOであるMarc Maiffret氏によると、この脆弱性は、DirectShowによるJPEG画像の解析方法にあり、この欠陥を悪用した攻撃により、侵害されたWebページまたはドキュメントに埋め込まれた悪意のある画像が挿入される可能性があります。 管理者以外の権限で実行しているユーザーは、攻撃者が引き起こす可能性のある損害が制限されるため、これらの攻撃による影響が少ないことに注意してください。
Silverlightのセキュリティ機能のバイパスは「重要」と評価されていますが、優先度もかなり高いはずです。 攻撃者は、特別に細工されたSilverlightコンテンツを含む悪意のあるサイトにユーザーを誘導することにより、この欠陥を悪用することができるとMicrosoftは述べた。 危険なのは、攻撃者がこの脆弱性を悪用することでWindowsに組み込まれている2つの攻撃緩和技術であるASLRとDEPをバイパスできることです、とMaiffretは警告しました。 12月に修正されたASLRバイパスの欠陥(MS13-106)など、ASLRとDEPをバイパスしてシステムの制御を取得した後、リモートのコード実行を達成するために、攻撃者は二次的なエクスプロイトを必要とします。 現在、この欠陥を悪用する攻撃は実際にはありませんが、ユーザーはパッチが適用されるまで、SilverlightがInternet Explorer、Firefox、Chromeで実行されるのをブロックする必要があります、とMaiffretは言いました。 古いパッチも展開されていることを確認することも重要です。
Microsoftは、Silverlightを「採用が限られていることを考えると多くのパッチを見ている」とあきらめるべきである、とTyler Regulyが提案した。 Microsoftは少なくとも2021年までサポートを継続するため、組織はSilverlightからの移行を開始し、「Silverlightをすべてアンインストールし、エンドユーザーシステムのセキュリティを効果的に高めることができるようにする」必要があると付け加えました。
残りのMicrosoftパッチ
すぐに適用する必要があるもう1つのパッチは、Windowsカーネルモードドライバー(MS14-014)の特権の昇格の脆弱性のペアに対処するものです。これは、Windowsのサポートされているすべてのバージョンに影響を及ぼします(今月もWindows XPを含む)。 この欠陥を悪用するには、攻撃者は「有効なログオン資格情報が必要であり、ローカルでログオンできる必要がある」とMicrosoftは警告した。
最後のパッチは、セキュリティアカウントマネージャーリモート(SAMR)プロトコルの問題を修正します。これにより、攻撃者はActive Directoryアカウントを総当たり攻撃し、アカウントからロックアウトされなくなります。 このパッチは、攻撃を受けたときにWindowsがアカウントを正しくロックするように、そのAPI呼び出しを修正します。 「ブルートフォース攻撃を防止するために、パスワード試行ロックアウトポリシーが特に導入されており、悪意のある攻撃者がポリシーをバイパスできるようにすると、提供される保護が完全に無効になります」とReguly氏は言います。
その他のソフトウェアの更新
これは、オペレーティングシステムの更新の週です。 Appleは今週初めにiOS 7.1をリリースし、アドビはAdobe Flash Player(APSB14-08)を更新して今日2つの脆弱性を解決しました。 アドビによると、これらの問題は現在悪用されていないという。
Appleは、ローカルユーザーが影響を受けるデバイス上の任意のファイルの権限を変更できるクラッシュレポートの問題、予期しないシステム終了またはカーネルでの任意のコード実行を許可する可能性があるカーネルの問題など、iOS 7のいくつかの重要な問題を修正しました、および権限のないユーザーが影響を受けるデバイスのコード署名要件をバイパスできるようにするバグ。 Appleは、攻撃者がEnterprise App Downloadを介して悪意のあるアプリをダウンロードするようにユーザーを誘導できるバグと、悪意を持って作成されたバックアップファイルがiOSファイルシステムを変更することを可能にするバグも修正しました。