Video: How To Enable ActiveX Controls on Internet Explorer (Lapkritis 2024)
„Microsoft“ ištaisė 29 „Internet Explorer“ spragas ir palaikomas „Windows“ versijas, kaip liepos mėnesio pataisos antradienį. Didžiausią dalį pažeidimų, nustatytų šiame etape, sudarė „Internet Explorer“.
Iš šešių išleistų saugos biuletenių tik du iš jų - „Internet Explorer“ ir „Windows Journal“ - vertinami kaip kritiniai, teigiama „Microsoft“ patikslinto antradienio patarime. Trys įvertintos kaip svarbios, o galutinis biuletenis įvertintas tik vidutiniškai. Tiek „IE“, tiek „Windows Journal“ biuleteniai pašalina nuotolinio kodo vykdymo klaidas. Svarbūs biuleteniai ištaisė privilegijuotų klaidų ekrano klaviatūroje, pagalbinių funkcijų tvarkyklėje ir „DirectShow“ trūkumus, o vidutinis biuletenis ištaisė paslaugų atsisakymo klaidą „Microsoft“ paslaugų magistralėje.
„Microsoft“ teigė, kad nepastebėjo jokių išpuolių, nukreiptų į bet kurį iš šių trūkumų.
Aš, mano
„Microsoft“ ištaisė 24 „Internet Explorer“ (MS14-037) trūkumus, vieną viešai paskelbtą klaidą ir 23 privačiai praneštus. Tai įvyko po to, kai praėjusį mėnesį „Microsoft“ ištaisė 59 „Internet Explorer“ spragas. Šios problemos yra labai svarbios „Internet Explorer 6“ iki „Internet Explorer 11“ „Windows“ kompiuteriuose, tačiau tik vidutinės „Windows“ serveriuose.
Užpuolikai gali išnaudoti IE klaidas apgaudinėdami vartotojus apsilankyti specialiai sukurtoje kenksmingoje svetainėje. Kai ataka bus sėkminga, užpuolikas turėtų tas pačias vartotojo teises kaip ir pažeistas vartotojas. Mažiau įtakos turės vartotojai, turintys mažiau teisių (pavyzdžiui, neprisijungę kaip administratoriai).
„Kol kas neaišku, ar„ Microsoft “per kelis ateinančius mėnesius išvalė„ Internet Explorer “pažeidžiamumo spintą, ar tai yra naujas normalus dalykas“, - teigė Marc Maiffret, „BeyondTrust“ CTO.
Neaiški „Windows“ programinė įranga
Dėl „Windows Journal“ (MS14-038) problemos užpuolikai gali leisti nuotoliniu būdu vykdyti kenksmingą kodą. „Windows Journal“ pagal numatytuosius nustatymus yra įdiegtas visose palaikomose „Windows“ versijose nuo Vista iki 8.1, tačiau jis dažniausiai nenaudojamas. „Windows Journal“ galima naudoti įrenginiuose, kuriuose naudojama jutiklinė funkcija, taip pat kompiuteriuose, kurie neliečiami naudojant „Windows“, norint užfiksuoti ranka rašytas pastabas. Pažeidimas buvo susijęs su tuo, kaip „Windows“ atidarė failus, išsaugotus „Windows Journal“ (.jnt) formatu.
„Windows Journal“ klaida yra „puikus pavyzdys, kaip užpuolikai gali piktnaudžiauti nenaudojama programine įranga“, - teigė „Tripwire“ saugumo tyrinėtojas Craigas Youngas.
„Windows Journal“ neįdiegtas „Windows Server“ versijose.
Maiffret rekomendavo failo plėtinį traktuoti taip, lyg jis būtų vykdomasis, ir užblokuoti jį internete ir el. Pašto šliuzuose.
Jei yra priežastis, kodėl dviejų kritinių pataisų negalima iškart įdiegti, pakanka apeiti „Windows Journal“ ir perjungti į kitą interneto naršyklę. „Nors visada teikiama pirmenybė pleistrui, išpuolio paviršiaus ribojimas yra gera atsarginė kopija“, - teigė Tyleris Ranguly, „Tripwire“ saugumo tyrimų vadovas.
Likę pleistrai
Biuleteniai įvertino svarbias ištaisytas klaidas, kovo mėnesį aptiktas „pwn2own“ konkurso metu. Vietinis privilegijuotų klausimų pakėlimas gali būti panaudotas siekiant suteikti neprivilegijuotiems vartotojams geresnę prieigą prie pažeidžiamos sistemos. Jie gali būti naudojami grandininiuose išpuoliuose, norėdami pakenkti sistemai, pasiūlė Ross Barrett, „Rapid7“ apsaugos inžinerijos vyresnysis vadovas. „Atsižvelgiant į jų atskleidimo pobūdį, turi būti žinoma, kad jie naudoja kodą“, - perspėjo Barrett.
Pagalbinių funkcijų tvarkyklės klaida gali būti suporuota su „kai kuriais, pavyzdžiui, „ Internet Explorer “pažeidžiamumais nuo šio mėnesio, kad būtų galima vykdyti žiniatinklio išpuolius, kurių rezultatas yra kodo vykdymas branduolyje“, - teigė Maiffret.
