Casa Securitywatch Microsoft elimina 34 bug nella patch di martedì

Microsoft elimina 34 bug nella patch di martedì

Video: Microsoft Flight Simulator - Обновление 7 - США (Novembre 2024)

Video: Microsoft Flight Simulator - Обновление 7 - США (Novembre 2024)
Anonim

Microsoft ha pubblicato sette bollettini che risolvono 34 bug univoci in.NET Framework, il kernel di Windows e Internet Explorer come parte del Patch Tuesday di luglio. Esiste anche una nuova politica di 180 giorni per il mercato Microsoft relativa alle app con bug di sicurezza.

Dei sette bollettini, sei sono stati giudicati critici e uno è stato giudicato importante, ha dichiarato Microsoft nell'advisory Patch Tuesday pubblicato ieri pomeriggio. Microsoft ha raccomandato di installare prima il bollettino IE (MS13-055), seguito da uno dei bollettini per i driver in modalità kernel di Windows (MS13-053). I rimanenti bollettini TrueType e Windows erano nel prossimo gruppo prioritario, seguito dall'unica patch "importante".

"Tutto nel mondo principale di Microsoft è interessato da uno o più di questi; ogni sistema operativo supportato, ogni versione di MS Office, Lync, Silverlight, Visual Studio e.NET", ha affermato Ross Barrett, senior manager dell'ingegneria della sicurezza di Rapid7.

Anteprima di Windows 8.1 e IE 11 non sono interessati da nessuno di questi bollettini.

Font Brutti, Brutti

Tre bollettini separati (MS13-052, MS13-053 e MS13-054) hanno corretto la vulnerabilità dei caratteri TrueType in.NET. Questo bug di font TrueType è simile a quello sfruttato da Stuxnet e Duqu, ad eccezione del fatto che è presente in.NET e non nel kernel di Windows, ha affermato Marc Maiffret, CTO di BeyondTrust.

MS13-054 ha corretto la vulnerabilità TrueType in GDI +, un componente nel kernel di Windows. Il difetto riguarda più prodotti, tra cui tutte le versioni supportate di Windows, Office 2003/2007/2010, Visual Studio.NET 2003 e Lync 2010/2013. Maiffret ha predetto che questo difetto sarà sfruttato dagli attaccanti nel prossimo futuro perché così tanti prodotti usano GDI +.

"MS13-053 è il peggiore del gruppo", ha dichiarato Tommy Chin, ingegnere del supporto tecnico presso CORE Security, aggiungendo "Esecuzione di codice in remoto e escalation di privilegi tutto in uno". Gli aggressori possono ingegnere sociale potenziali vittime per visualizzare un file predisposto con contenuto TrueType dannoso. In caso di successo, l'attaccante ottiene l'accesso come amministratore al sistema interessato, ha detto Chin.

Anche la vulnerabilità zero-day nel kernel di Windows scoperta dal ricercatore di sicurezza Tavis Ormandy è stata corretta in questo bollettino. Considerando gli exploit per questa vulnerabilità sono già inclusi in framework pubblici come Metasploit, questa dovrebbe essere una priorità assoluta

Internet Explorer

L'enorme aggiornamento di Internet Explorer ha risolto 17 difetti, di cui 16 sono vulnerabilità di corruzione della memoria e uno un bug di scripting cross-site. I difetti di corruzione della memoria possono essere utilizzati negli attacchi drive-by in cui gli aggressori creano pagine Web dannose e utilizzano tattiche di ingegneria sociale per attirare gli utenti sulle pagine dannose. Ci sono stati molti bug di corruzione della memoria in Internet Explorer negli ultimi martedì delle patch, ha osservato Maiffret, aggiungendo: "È indispensabile che questa patch venga implementata il prima possibile".

Modifica dei criteri di Microsoft Marketplace

Microsoft ha inoltre annunciato una modifica della politica relativa al mercato Microsoft. In base al nuovo criterio, qualsiasi app in uno dei quattro app store gestiti da Microsoft (Windows Store, Windows Phone Store, Office Store e Azure Marketplace) avrà 180 giorni di tempo per risolvere i problemi di sicurezza. La sequenza temporale si applica alle vulnerabilità classificate come critiche o importanti e che non sono sotto attacco.

Se non viene riparato entro tale lasso di tempo, l'app verrà rimossa dallo store, ha affermato Microsoft. La politica si applica alle applicazioni di sviluppatori di terze parti e di Microsoft.

"Microsoft sta facendo un grande passo verso la riduzione al minimo delle applicazioni vulnerabili nei vari app store", ha affermato Craig Young, ricercatore di sicurezza con Tripwire.

Tuttavia, vale la pena notare che 180 giorni sono lunghi, il che rende altamente improbabile che Microsoft finisca mai per tirare un'app. È improbabile che uno sviluppatore trascorra più di sei mesi a risolvere una vulnerabilità critica e, se l'aggiornamento richiede più tempo del previsto, Microsoft è disposta a fare eccezioni.

Considerando ciò, la nuova politica sembra un modo per Microsoft di sembrare duro senza influenzare negativamente gli sviluppatori.

Più avanti

Questo sarà un mese impegnativo per gli amministratori. Adobe ha rilasciato i propri aggiornamenti e Oracle pubblicherà il suo aggiornamento trimestrale di tutto il proprio software tranne Java la prossima settimana.

Microsoft elimina 34 bug nella patch di martedì