La 13an de junio, kiel parto de nia kutima kliento Ĝisdatigu mardan horaron, Microsoft publikigis sekurecon ĝisdatigoj por entute 96 sekurecaj vundeblecoj en ĝiaj diversaj operaciumoj kaj programoj Vindozo, inkluzive korektoj por du vundeblecoj kiuj aktive estis ekspluatataj en naturo.
El 96 sekurecaj vundeblecoj, 12% de ĉi tiuj numeroj venis per la programo ZDI (Nul-Taga Iniciato) iam. Entute 18 el ĉi tiuj numeroj estas kritikitaj, 76 estas gravaj, unu estas modera kaj unu estas la malofta malalta severa takso. Iuj el ĉi tiuj cimoj estis komence malkaŝitaj dum la ĉi-jara konkurso Pwn2Own, sed iuj cimoj de la konkurso ankoraŭ estas flikendaj. Du el ĉi tiuj cimoj estas aktive atakitaj dum tri estas listigitaj kiel publike konataj.
Se vi memoras, la pasinta monato disvastiĝis WannaCry ransomware-atako, kiu infektis preskaŭ 300,000 komputilojn en pli ol 150 landoj, devigis Microsoft publikigi sekurecajn ĝisdatigojn EternalBlue SMB-ekspluatado por nesubtenataj versioj de Vindozo, sed la kompanio lasis aliajn tri Vindozajn nul-tagajn ekspluatojn, filtritajn de la Ombraj Makleristoj en aprilo, senflika. La flanka liberigo de ĉi tiu monato ankaŭ inkluzivas krizon flikaĵoj por tiuj tri Vindozaj hakaj ekspluatadoj.
la Junio 2017 Flika Mardo alportas flikaĵojn por pluraj misdifektaj kodekzekutaj difektoj en Vindozo, Office kaj Edge, kiuj povus esti ekspluatitaj malproksime de retpiratoj por preni kompletan kontrolon de vundeblaj maŝinoj kun malmulta aŭ neniu interago de la uzanto.
Dum du el la vundeblecoj estis ekspluatitaj en vivaj atakoj, pliaj tri mankoj havas publike haveblajn pruvajn konceptojn (POC), kiujn iu ajn povus uzi por celi Vindozajn uzantojn.
La tri senkoloraj Vindozaj ekspluatadoj estas koditaj kiel "EsteemAudit", "ExplodingCan", kaj "EnglishmanDentist." EsteemAudit celas servon de fora labortabla protokolo (RDP) sur maŝinoj Microsoft Windows Server 2003 kaj Windows XP, dum ExplodingCan ekspluatas erarojn en IIS 6.0 kaj EnglishmanDentist ekspluatas servilojn de Microsoft Exchange. Neniu el ĉi tiuj ekspluatadoj funkcias sur subtenata Vindoza platformo.
Laŭ la lastatempa Microsoft blog, la kritikaj malaltiĝaj flikaĵoj por tri Vindozaj ekspluatadoj estis kaŭzitaj de "levita risko de detruaj ciber-atakoj" fare de registaraj organizaĵoj, foje nomataj "naci-ŝtataj aktoroj aŭ aliaj imitaj organizoj."
La sekurecaj flikaĵoj por Windows XP, Vista kaj Server 2003 enhavas korektojn por la supraj tri fin-subtenaj produktoj. Male al regulaj eldonoj de Patch Tuesday liveritaj aŭtomate per la Vindoza Ĝisdatiga mekanismo al viaj aparatoj, ĉi tiuj malaltiĝaj flikaĵoj devas esti elŝutitaj kaj instalitaj permane. Ĉi tiuj ĝisdatigoj haveblas en la Elŝuta Centro de Mikrosofto aŭ, en la Ĝisdatiga Katalogo, aŭ vi povas elŝuti ligojn ĉe la fundo de Sekureca Konsilo 4025685.
"Nia decido hodiaŭ publikigi ĉi tiujn sekurecajn ĝisdatigojn por platformoj ne kun vasta subteno ne devas esti rigardata kiel foriro de niaj normaj servaj politikoj. Surbaze de takso de la nuna minaca pejzaĝo fare de niaj sekurecaj inĝenieroj, ni prenis la decidon disponigi ĝisdatigojn pli larĝe. Kiel ĉiam, ni rekomendas klientojn ĝisdatigi la plej novajn platformojn. La plej bona protekto estas esti kun moderna ĝisdata sistemo, kiu inkluzivas la plej novajn profundajn novigojn pri defendo. Pli malnovaj sistemoj, eĉ se tute ĝisdataj, malhavas de la plej novaj sekurecaj funkcioj kaj progresoj ", diris Eric Doerr, ĝenerala direktoro de la Sekureca Respondo-Centro de la kompanio. blog.
dume, adobo ankaŭ eldonis sekurecajn solvojn por siaj plej vundeblaj programaj ofertoj, Ekbrila Ludisto kaj Premludilo, du programoj plej multaj uzantoj probable pli bonus sen. La kompanio traktas naŭ kritikajn erarojn en sia Flash Player, kiuj povus permesi ekzekuton de fora kodo, kvin el ili pro memoro-korupteco kaj kvar estas postuzaj kondiĉoj en la programaro.
Uzantoj, kiuj uzas Chrome, Edge kaj Internet Explorer 11 kaj poste, ricevos la ĝisdatigon aŭtomate de la sekurecaj teamoj de Google kaj Microsoft, dum aliaj uzantoj devas elŝuti la flikaĵojn rekte de Adobe.
Shockwave Player ricevis flikaĵon por ununura malproksima kodekzekuta vundebleco en la Vindozo-versio de ĝia softvaro. Uzantoj devas elŝuti version Shockwave Player 12.2.9.199 por protekti sin.
