Lar Securitywatch Patches da Microsoft, ou seja, dia zero no patch de março terça-feira

Patches da Microsoft, ou seja, dia zero no patch de março terça-feira

Vídeo: Webinar: Automating Patch Tuesday - August 2020 (Novembro 2024)

Vídeo: Webinar: Automating Patch Tuesday - August 2020 (Novembro 2024)
Anonim

A Microsoft lançou cinco patches - dois classificados como "Crítico" e três como "Importante" - corrigindo 23 vulnerabilidades no Internet Explorer, Microsoft Windows e Silverlight como parte da atualização de terça-feira do Patch de março. O patch do IE também fechou as vulnerabilidades de dia zero que os invasores exploram desde fevereiro.

Os invasores exploraram a vulnerabilidade crítica de dia zero (CVE-2014-0322) no Internet Explorer 10 no mês passado, como parte da Operação SnowMan, que comprometeu o site pertencente aos Veteranos de Guerra nas Estrangeiras dos EUA, bem como em um ataque diferente que representava um francês. fabricante aeroespacial. O patch do IE (MS14-022) fecha essa falha e outras 17, incluindo uma que foi usada em ataques direcionados limitados ao Internet Explorer 8 (CVE-2014-0324), Dustin Childs, gerente de grupo da Microsoft Trustworthy Computing, escreveu no blog do Microsoft Security Response Center.

"Obviamente, a atualização do IE deve ser sua maior prioridade", disse Childs.

Problemas com o Silverlight

O outro patch crítico corrige uma falha crítica na execução remota de código no DirectShow e afeta várias versões do Windows. A vulnerabilidade está na maneira como as imagens JPEG são analisadas pelo DirectShow, tornando provável que os ataques que exploram essa falha insiram imagens maliciosas em páginas da Web comprometidas ou incorporadas a documentos, disse Marc Maiffret, CTO da BeyondTrust. Vale a pena notar que os usuários que executam com privilégios de não administrador serão menos afetados por esses ataques porque o invasor ficará limitado ao dano que ele ou ela pode causar.

O desvio do recurso de segurança no Silverlight é classificado como "importante", mas também deve ter prioridade bastante alta. Os invasores podem explorar a falha direcionando os usuários para um site malicioso que contém conteúdo Silverlight especialmente criado, disse a Microsoft. O que é perigoso é que os invasores podem ignorar o ASLR e o DEP, duas tecnologias de mitigação de exploração incorporadas ao Windows, explorando essa vulnerabilidade, alertou Maiffret. Um invasor precisaria de uma exploração secundária para obter a execução remota de código após ignorar o ASLR e o DEP para obter o controle do sistema, como a falha de desvio do ASLR corrigida em dezembro (MS13-106). Embora atualmente não haja ataques explorando essa falha, os usuários devem impedir a execução do Silverlight no Internet Explorer, Firefox e Chrome até que o patch seja aplicado, disse Maiffret. Também é importante garantir que os patches mais antigos também tenham sido implantados.

A Microsoft deveria desistir do Silverlight porque "vê muitas correções devido à sua adoção limitada", sugeriu Tyler Reguly. Como a Microsoft continuará dando suporte até pelo menos 2021, as organizações devem começar a migrar do Silverlight para que "todos possamos desinstalar o Silverlight e aumentar efetivamente a segurança dos sistemas de usuários finais", acrescentou.

Patches remanescentes da Microsoft

Outro patch que deve ser aplicado mais cedo ou mais tarde é o que aborda um par de vulnerabilidades de elevação de privilégio Driver do Modo Kernel do Windows (MS14-014), pois afeta todas as versões suportadas do Windows (para este mês, que ainda inclui o Windows XP). Para explorar essa falha, o invasor "deve ter credenciais de logon válidas e poder fazer logon local", alertou a Microsoft.

O patch final corrige problemas no protocolo SAMR (Security Account Manager Remote), que permite que os atacantes violem as contas do Active Directory e não sejam bloqueados. O patch corrige a chamada da API para que o Windows bloqueie corretamente as contas quando estiver sob ataque. "As políticas de bloqueio por tentativa de senha são implementadas especificamente para impedir tentativas de força bruta e permitir que um invasor mal-intencionado ignore a política e derrote completamente a proteção que ela fornece", disse Reguly.

Outras atualizações de software

Esta é a semana para atualizações do sistema operacional. A Apple lançou o iOS 7.1 no início desta semana e a Adobe atualizou o Adobe Flash Player (APSB14-08) para fechar hoje duas vulnerabilidades. Atualmente, os problemas não estão sendo explorados, disse a Adobe.

A Apple corrigiu alguns problemas significativos no iOS 7, incluindo um problema de relatório de falha que poderia permitir que um usuário local alterasse as permissões em arquivos arbitrários nos dispositivos afetados, um problema no kernel que poderia permitir o encerramento inesperado do sistema ou a execução arbitrária de código no kernel., e um erro que permitia que um usuário não autorizado ignorasse os requisitos de assinatura de código nos dispositivos afetados. A Apple também corrigiu um bug que poderia permitir que um invasor induzisse um usuário a baixar um aplicativo malicioso via Enterprise App Download e outro que permitia que um arquivo de backup criado com códigos maliciosos alterasse o sistema de arquivos do iOS.

Patches da Microsoft, ou seja, dia zero no patch de março terça-feira