Первый патч во вторник 2015 включает пару неожиданностей в то, что это содержит и что это не делает.Микрософт 13 января развернула собственный первый Патч во вторник обновление нового года, что включал восемь бюллетеней безопасности с одним расчетным как имеющий критическую степень серьезности. Среди фиксированных уязвимостей недостаток нулевого дня, воздействующий на Windows, что был сперва публично раскрыт Гугл 30 декабря 2014.
Недостаток, что был раскрыт Google, есть практически самым первым бюллетенем безопасности для Микрософт в 2015. Недостаток, с обозначением MS15-001, оценивается как «серьёзный» Микрософт.«Увеличение уязвимости полномочия существует в том, как Инфраструктура Совместимости приложения Микрософт Windows (AppCompat) неправильно проверяет авторизацию маркера заимствования прав вызывающей стороны», Микрософт даёт предупреждение на ее консультации. «Атакующий имел возможность постараться применять это для запуска привилегированного приложения».
В дополнение к недостатку нулевого дня, о котором это заявило 30 декабря, Гугл заявил о второй уязвимости расширения полномочий нулевого дня Windows 11 января, отметил Карла Сиглера, аналитика угрозы в Trustwave. Вторая неточность исправлена в MS15-003.
«Увеличение уязвимости полномочия существует в том, как Обслуживание Профиля пользователя Windows (ProfSvc) проверяет полномочия пользователя», Микрософт даёт предупреждение на ее консультации. «Аутентифицируемый атакующий, что удачно применяет уязвимость, имел возможность действенно применять Обслуживание Профиля пользователя Windows (ProfSvc) загрузить структуры данных реестра, связанные с другими учетными записями пользователей и возможно выполнить программы с поднятыми полномочиями»Весьма интересно, Микрософт публично не подтвердила, что Гугл был тем, что нашёл уязвимости, фиксированные в MS15-001 и бюллетенях безопасности MS15-003. Оба бюллетеня , «Микрософт выявит упрочнения тех в сообществе безопасности, кто оказывает помощь нам обезопасисть клиентов при помощи важного раскрытия уязвимости».Микрософт публично не дала согласие с политикой Гугл по раскрытию.
Гугл публично раскрыл два недостатка нулевого дня после первого ожидания 90 дней для Микрософт для публикации патча.«Я пологаю, что, должно быть, была неприятность в связи между Микрософт и Гугл, в силу того, что думается, что патч был дешёв в течение достаточно маленького периода времени 90-дневной даты лимита», сообщил Вольфганг Кандек, CTO Qualys, eWEEK.Микрософт вправду, но, кредитует Джеймса Форшоу Проектной Нулевой исследовательской группы безопасности Гугл для бюллетеня MS15-008, что есть недостатком расширения полномочий в драйвере привилегированного режима Windows WebDAV.
Все три уязвимости расширения полномочий (MS15-001, MS15-003 и MS15-008) информируемый Гугл оцениваются Микрософт, когда являющейся «влияния» и важной серьёзности. В январском Патче во вторник обновляют, лишь бюллетеню безопасности MS15-002 дали самую высокую оценку безопасности «критических». MS15-002 детализирует уязвимость в Telnet, что есть более ветхой программной разработкой, которая включает удаленный доступ.
«Telnet, небезопасное средство доступа по любому стандарту, есть чем-то, что Вы все еще имели возможность бы видеть особенно в более ветхих инфраструктурах ИТ, где возможно через чур дорого заменить в более ветхих совокупностях», сообщил Джон Рудольф, главный разработчик ПО в Базисной безопасности, eWEEK.Kandek Qualys подчернул, что уязвимость Telnet говорит о том, что даже старое ПО может все еще питать новые неточности. Никто не должен вправду применять Telnet больше так или иначе, сказал он. Сиглер Траствава прокомментировал, что кое-какие люди имели возможность бы заявить, что присутствие открытого порта Telnet есть, сам по себе, уязвимостью.
«Хотелось бы сохранять надежду, те, которые все еще применяют Telnet, мигрируют на большом растоянии от его применения, и сетевые администраторы должны делать систематические сетевые аудиты для обнаружения прошлых одолжений как Telnet, что, быть может, покинули сзади либо забыли о», сообщил Сиглер.Internet ExplorerОдна разработка, которая не взяла патч на Патче в январе во вторник, была веб-браузером MSIE Микрософт.
В течение 2014 IE был единственной самый исправленной разработкой Микрософт, которая делает отсутствие IE в первом патче 2015 всем более необычным. Но даже при том, что нет патча для IE в этом месяце, существует новое обновление IE вариантов. IE 10 Микрософт и 11 браузеров конкретно интегрируют плагин Flash Adobe, что был исправлен сейчас Adobe.«Обновление Adobe Flash свидетельствует, что IE 10 и IE, 11 пользователей, по крайней мере, возьмут автоматическое обновление для той настольной уязвимости, которую Adobe оценил как критически настроенную», сообщил Кэндек.
Sigler не был удивлен отсутствием патчей IE в этом месяце, в особенности дан исторические тренды Микрософт.«Январь 2014 не имел никаких уязвимостей в IE, сопровождаемом к февралю с 24 отдельными CVEs для ПО», сообщил Сиглер. «Если не будет никаких патчей для IE в феврале, то я буду удивлен».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.