Casa Securitywatch Microsoft corregge critici, ad esempio i difetti nella patch di giugno

Microsoft corregge critici, ad esempio i difetti nella patch di giugno

Video: Windows 10 October 2020 Update: tutto quello che c'è da sapere (Novembre 2024)

Video: Windows 10 October 2020 Update: tutto quello che c'è da sapere (Novembre 2024)
Anonim

Microsoft ha risolto 23 vulnerabilità in cinque bollettini sulla sicurezza come parte della sua versione di June Patch di martedì. Dei bug corretti, 19 erano in Internet Explorer.

Le vulnerabilità di corruzione della memoria hanno riguardato tutte le versioni supportate dei browser Web Internet Explorer in esecuzione su tutti i sistemi operativi supportati, secondo la consulenza di martedì di Microsoft. Il bollettino IE (MS13-047) è l'unico classificato come critico questo mese,

mentre i restanti quattro bollettini sono stati giudicati importanti.

Quattro dei problemi riguardavano ogni singola versione supportata di IE, suggerendo che è più probabile che gli aggressori inseguano queste vulnerabilità prima di tentare di utilizzare le altre, ha affermato Marc Maiffret, CTO di BeyondTrust.

"Dato il gran numero di vulnerabilità risolte, questo sarà l'obiettivo principale per gli aggressori di decodificare e costruire un exploit che può essere consegnato attraverso una pagina Web dannosa", ha concordato Wolfgang Kandek, CTO di Qualys.

Aggiornamenti a Office, Windows

Un altro bollettino ad alta priorità ha affrontato le vulnerabilità in Microsoft Office (MS13-051). Secondo Microsoft, la vulnerabilità dell'analisi del formato grafico PNG in Office 2003 su Windows e 2011 per Mac OS X è attualmente in circolazione in natura con attacchi limitati.

"L'unica ragione" per cui Microsoft non ha definito il bollettino di Office come critico è a causa del numero limitato di piattaforme interessate, ha affermato Ross Barrett, senior manager dell'ingegneria della sicurezza di Rapid7. Gli aggressori interessati a sfruttare questo difetto userebbero a

documento di Word intercettato.

I rimanenti bollettini riguardavano una vulnerabilità legata alla divulgazione di informazioni (MS13-048), un problema di negazione del servizio nello stack TCP / IP (MS13-049) e una vulnerabilità di escalation di privilegi locali in Windows Print Spooler (MS13-050), secondo Microsoft. Il bug DoS

riguarda le versioni più recenti di Windows, da Vista a Windows 8 e da Server 2008 a Server 2012. Il difetto è solo una vulnerabilità locale per Vista, Windows 7 e Server 2008, ma su Windows 8 e Server 2012, il bug può essere sfruttato attraverso la rete.

"È sorprendente che le versioni più recenti di Windows siano più sensibili a questo bug rispetto alle versioni precedenti", ha dichiarato Lamar Bailey, direttore della ricerca sulla sicurezza di Tripwire. "Le novità non sono sempre migliori", ha aggiunto.

Microsoft non ha chiuso l'elevazione del kernel della vulnerabilità dei privilegi divulgata dal dipendente Google Tavis Ormandy all'inizio di questo mese come parte di questa versione di Patch martedì. Un exploit di prova di concetto è già disponibile, quindi è ragionevole ipotizzare "il

underground sta lavorando per rendere quella vulnerabilità parte del loro arsenale ", ha detto Kandek, che ha previsto che la correzione farà parte dell'aggiornamento di Patch Tuesday di luglio. Barrett non pensava che una patch fuori banda fosse probabilmente solo un bug del kernel locale.

Tutto sommato, è una patch abbastanza piccola martedì, ma considerando il recente aggiornamento di Apple per Mac OS X e l'aggiornamento di Adobe Flash, gli amministratori saranno ancora occupati.

Microsoft corregge critici, ad esempio i difetti nella patch di giugno