Lar Securitywatch Oracle se une à adobe e microsoft em gigante patch de janeiro terça-feira

Oracle se une à adobe e microsoft em gigante patch de janeiro terça-feira

Vídeo: Microsoft Office 2020 лицензионный как установить для MacOS Catalina, Windows 10 + 5ТБ OneDrive (Novembro 2024)

Vídeo: Microsoft Office 2020 лицензионный как установить для MacOS Catalina, Windows 10 + 5ТБ OneDrive (Novembro 2024)
Anonim

É uma variedade de patches de software, com Microsoft, Adobe e Oracle lançando atualizações de segurança no mesmo dia.

Como esperado, a Microsoft começou 2014 com uma versão bastante leve do Patch Tuesday, corrigindo seis vulnerabilidades não tão críticas em quatro boletins de segurança. No mesmo dia, a Adobe emitiu duas atualizações críticas, corrigindo três falhas críticas na execução remota de código no Adobe Reader, Acrobat e Flash. Uma peculiaridade de agendamento significou que a Atualização Crítica de Patch trimestral da Oracle também caiu na mesma terça-feira, resultando em um enorme volume de patches para os administradores de TI lidarem. A Oracle corrigiu 144 vulnerabilidades em 40 produtos, incluindo Java, MySQL, VirtualBox e seu principal banco de dados Oracle.

"Embora a Microsoft esteja lançando apenas quatro atualizações, há muito trabalho para os administradores de TI devido aos lançamentos da Adobe e da Oracle", disse Wolfgang Kandek, CTO da Qualys.

Os patches Java da Oracle devem ter a maior prioridade, seguidos pelos avisos do Adobe Reader e Flash, e depois pelas atualizações do Microsoft Word e XP, disseram especialistas.

Oracle assume em Java

Mesmo levando em consideração que a Oracle corrige trimestralmente e está consertando mais produtos, essa CPU ainda é um recordista no número de problemas corrigidos. Das 144 falhas de segurança, 82 podem ser consideradas críticas, pois podem ser exploradas remotamente sem autenticação.

A maioria das vulnerabilidades abordadas na gigantesca CPU da Oracle estava no Java v7. A Oracle corrigiu 34 falhas de execução remota, com várias pontuações 10 na escala Common Vulnerability Scoring System. O CVSS indica a seriedade da falha e a probabilidade do invasor obter controle total do sistema.

O Java foi um dos softwares mais atacados em 2013 e os especialistas alertaram que continuará sendo um alvo popular. Se você não o usar, desinstale-o. Se você precisa ter o Java instalado, pelo menos desative-o no navegador da Web, pois todos os ataques até agora atacaram o navegador. Se você acessar aplicativos da Web que requerem Java, mantenha-o em um navegador da Web diferente do padrão e alterne quando necessário. Se você não precisar, não guarde. Se você o mantiver, faça o patch imediatamente.

A Oracle também corrigiu cinco falhas de segurança em seu próprio banco de dados Oracle, uma das quais pode ser explorada remotamente e 18 vulnerabilidades no MySQL. Três desses erros poderiam ser atacados remotamente e tinham a pontuação máxima no CVSS de 10. O software para servidor Solaris tinha 11 falhas, incluindo uma que poderia ser atacada remotamente. O bug Solaris mais grave teve uma pontuação CVSS de 7, 2. A CPU solucionou nove problemas no Oracle Virtualization Software, que inclui o software de virtualização VirtualBox, dos quais quatro poderiam ser acionados remotamente. A pontuação máxima no CVSS foi de 6, 2.

Se você estiver executando algum desses produtos, é importante atualizá-los imediatamente. O MySQL é amplamente utilizado como sistema de back-end para vários softwares populares de CMS e fóruns, incluindo WordPress e phpBB.

Correções do Reader e do Flash

A Adobe corrigiu problemas de segurança no Adobe Flash, Acrobat e Reader, que, se explorados, dariam aos invasores controle total do sistema de destino. O vetor de ataque do bug do Acrobat and Reader era um arquivo PDF malicioso. A falha do Flash pode ser explorada visitando páginas maliciosas da Web ou abrindo documentos com objetos Flash incorporados.

Se você tiver atualizações em segundo plano ativadas para produtos da Adobe, as atualizações deverão ser contínuas. Usuários com Google Chrome e Internet Explorer 10 e 11 não precisarão se preocupar com a nova versão do Flash, pois os navegadores atualizarão o software automaticamente.

Microsoft Light Update

A Microsoft corrigiu uma vulnerabilidade de formato de arquivo no Microsoft Word (MS14-001) que pode ser explorada remotamente se o usuário abrir um arquivo do Word com armadilha. Afeta todas as versões do Microsoft Word no Windows, incluindo o Office 2003, 2007, 2010 e 2013, bem como os visualizadores de documentos do Word. Usuários do Mac OS X não são afetados.

A vulnerabilidade de dia zero (CVE-2013-5065) que afeta os sistemas Windows XP e Server 2003 que foi descoberta na natureza em novembro passado foi finalmente corrigida (MS14-002). Embora a falha de escalonamento de privilégios no NDProxy não possa ser executada remotamente, ela deve ser de alta prioridade, pois pode ser combinada com outras vulnerabilidades. Os ataques de novembro usaram um documento PDF mal-intencionado para desencadear uma falha no Adobe Reader (corrigido em maio de 2013 no APSB13-15) para acessar o bug do kernel do Windows. A Microsoft corrigiu uma falha de escalonamento de privilégios semelhante no Windows 7 e Server 2008 (MS14-003).

"Se você está preocupado com o 002 e não com o 003, provavelmente terá alguns problemas em abril, quando o suporte terminar com o Windows XP", disse Rapid7.

Por si só, essas vulnerabilidades podem não ser críticas, mas combinadas podem ser muito mais graves, alertou a Trustwave. Se uma campanha usando um documento mal-intencionado do Office executasse um código direcionado para o bug de elevação de privilégio ", um e-mail de phishing para um usuário desavisado seria tudo o que seria necessário", disse a equipe.

Oracle se une à adobe e microsoft em gigante patch de janeiro terça-feira