Video: internet explorer 11 not installing on windows 7, how to fix it? (Novembre 2024)
Microsoft ha risolto 37 vulnerabilità in Internet Explorer e nelle versioni supportate di Windows come parte della sua versione di Patch di agosto.
Ad agosto c'erano nove bollettini sulla sicurezza, di cui due classificati critici, secondo il parere di Microsoft. L'aggiornamento cumulativo per tutte le versioni supportate di Internet Explorer ha risolto 26 bug, incluso uno che è stato reso pubblico a Black Hat e dovrebbe essere considerato la massima priorità. Dei 26, un bug di escalation di privilegi era già stato sfruttato in natura, Microsoft ha detto. Il difetto rivelato a Black Hat è anche un difetto di escalation dei privilegi e potrebbe consentire a un utente malintenzionato di ignorare la sandbox dell'applicazione.
"Questa costante serie di vulnerabilità critiche di Internet Explorer è ancora un altro promemoria dell'importanza dell'implementazione del privilegio minimo per assicurarsi che se un utente viene sfruttato con una di queste vulnerabilità l'attaccante non si limiterà a consegnare i diritti di amministratore", ha affermato Marc Maiffret, CTO di BeyondTrust.
È anche importante ricordare che molti di questi problemi sono probabilmente presenti in Internet Explorer su Windows XP e sarebbero stati corretti, se Microsoft avesse ancora supportato il vecchio sistema operativo, ha affermato Ross Barrett, senior manager dell'ingegneria della sicurezza di Rapid7.
Le persone usano ancora Windows Media Center?
Il secondo aggiornamento critico del mese ha risolto un difetto in Windows Media Center, ma riguarda solo le edizioni Professional / Ultimate / Enterprise per Windows 7 e 8 / 8.1 e il "Media Center TV Pack" per Windows Vista. Un exploit di successo richiederebbe all'utente di aprire un file Microsoft Office appositamente predisposto che richiama le risorse di Windows Media Center e determinerebbe l'esecuzione di codice in modalità remota. L'attaccante otterrebbe gli stessi privilegi dell'utente.
"Questo non è un vero telecomando, ma piuttosto un altro attacco in cui un utente deve essere costretto ad aprire un file dannoso", ha detto Barrett.
Problemi in SQL Server
La patch di SQL Server ha risolto un problema che, se sfruttato, poteva comportare una negazione del servizio su tutte le versioni di supporto. Il bug di elevazione del privilegio non è classificato come critico perché richiede un certo grado di autenticazione per essere sfruttato ", ma dato il potenziale che ciò accada in un numero qualsiasi di circostanze, questo sarà senza dubbio un problema importante per gli amministratori", ha affermato Barrett.
Il difetto di scripting tra siti nella patch di SQL Server può essere sfruttato "per intraprendere qualsiasi azione che un utente possa intraprendere su un sito per conto dell'utente target", ha affermato Maiffret. Il filtro XSS su Internet Explorer dalle versioni 8 a 11 può impedire questo attacco, quindi gli utenti dovrebbero abilitare il filtro sia su Internet sia sulle zone Intranet.
È ora di rimuovere i diritti di amministratore
I restanti sette bollettini hanno risolto problemi in varie altre tecnologie Microsoft, inclusi driver in modalità kernel,.NET Framework, OneNote, Windows Installer e SharePoint. La maggior parte di questi sono problemi di privilegio.
L'elevazione delle vulnerabilità dei privilegi può essere mitigata riducendo il livello di privilegi dell'utente connesso al livello di privilegio più basso possibile, ha affermato Chris Goettl, product manager di Shavlik. "Molte organizzazioni IT hanno difficoltà a ridurre i privilegi per l'utente pur consentendo loro di lavorare in modo efficace", ma gli aggiornamenti di questo mese mostrano perché gli amministratori dovrebbero bloccare i privilegi ove possibile, ha affermato Goettl.