Микрософт разворачивает число бюллетеней безопасности и занимается 24 уязвимостями в MSIE.Микрософт вышла, ее ежемесячный Патч во вторник обновляют на февраль, и в отличие от обновления в январе Микрософт, у этого имеется по крайней мере одно громадное удивление в нем.Перед каждым Патчем во вторник событие, Микрософт производит предварительное уведомление, дабы дать пользователям и администраторам стремительный взор подхалима в том, что прибывает.
Для февральского Патча во вторник предварительное уведомление, Микрософт первоначально указала, что будет пять бюллетеней безопасности, ни один из них включая веб-браузер MSIE (IE). Как это оказывается, Микрософт сейчас освобождает семь бюллетеней безопасности, включая большое обновление IE, которое обращается к не меньше чем 24 уязвимостям.Обновление совокупности защиты IE воздействует на версии 6 – 11 и включает 23 уязвимости, о которых тайно информируют, и ту, которая была публично раскрыта.
Двадцать одни из уязвимостей IE группируются Микрософт в его бюллетене безопасности под возглавляющими «Многократными Уязвимостями Повреждения памяти в MSIE».«Удаленные уязвимости исполнения кода существуют, в то время, когда MSIE неправильно приобретает доступ, возражает в памяти», Микрософт даёт предупреждение. «Эти уязвимости имели возможность повредить память таким методом, которым атакующий имел возможность выполнить произвольный код в контексте текущего пользователя».О восьми из уязвимостей памяти сказала Микрософт Инициатива нулевого дня (ZDI) Hewlett-Packard, которая есть упрочнением, которое берёт изучение безопасности.
В недавнем отчете HP подчернул, что на 2013, взял больше уязвимостей IE, чем за каждый программный продукт. ZDI сейчас кроме этого готовится к его ежегодному мероприятию Pwn2Own (12-13 марта), на котором исследователи будут награждены 100 000$, если они смогут удачно применять IE 11, трудящийся на Windows 8.1 x64.
Другие уязвимости IE, фиксированные в обновлении, включают проблему увеличения полномочия, которая случилась на протяжении локальной установки файла. Существует кроме этого междоменная уязвимость информационного раскрытия, исправляемая в IE.
«Уязвимость информационного раскрытия существует в MSIE, что имел возможность разрешить атакующему приобретать доступ к информации в другом домене либо территории MSIE», Микрософт предотвратила в ее бюллетене безопасности. «Атакующий имел возможность применять уязвимость, создав намерено обработанную веб-страницу, которая имела возможность разрешить информационное раскрытие, если бы пользователь просмотрел веб-страницу».Последняя уязвимость IE есть той, которая находится кроме этого в бюллетене MS14-011, названный «Уязвимость в Механизме VBscripting Имела возможность Разрешить Удаленное Исполнение кода».Тайлер Регули, менеджер изучения безопасности в Растяжке, сообщил eWEEK, что бюллетень IE и бюллетень VBscript содержат, перекрывающиеся Воздействие и Общие Уязвимости (CVE)-CVE-2014-0271-which смогут иметь некое отношение к отказавшему исключению начальной буквы из предварительного уведомления.
«Удаленная уязвимость исполнения кода существует в пути, что дескрипторы механизма VBScript возражает в памяти», растолковывает Микрософт. «Уязвимость может повредить память таким методом, которым атакующий имел возможность выполнить произвольный код в контексте текущего пользователя».В целом, добавление бюллетеня IE к Патчу во вторник обновление было удивлением некоторым в сообществе безопасности.
«Я был удивлен, что MSIE не был в предварительном уведомлении», сообщил Вольфганг Кандек, CTO Qualys, eWEEK. «Лишь от следующего обычный поток неточностей от ZDI и iDefense, мы были в полной мере уверенны, что должно было быть ожидание исправлений безопасности».Кэндек подчернул, что одно вероятное объяснение пребывает в том, что Микрософт желала ожидать до марта для Pwn2Own тяжелее для всех. Кэндек сказал, что его команда не просматривает это как возможную теорию, потому, что это было бы неумело для задержки для того чтобы выпуска исправления неточности.
«Объяснение, что у них была техническая неприятность, имеет намного больше смысла, в итоге, мы видим, что было большое количество обращенных уязвимостей», сообщил Кэндек.Росс Барретт, главный менеджер разработки безопасности в Rapid7, сообщил eWEEK, что ему заявили, что обновление IE было первоначально задержано благодаря неполного тестирования.«Они переработали выходные, дабы завершить тестирование и вывести его», сообщил Барретт.
Вне удивления критическое обновление IE существует, по крайней мере, еще один бюллетень для принятия во внимание. MS14-009 детализирует уязвимости в платформе.NET.
Регули подчернул, что фиксированные недостатки связаны с Slowloris, нападением отказа в обслуживании (DoS) низкой пропускной способности. Наступление Slowloris было сперва публично обсуждено в 2009.«В том месте существовали не громадная обороноспособность ранее», сообщил Регули. «Я не говорю, что удивлен, что они исправили бы это, практически превосходно видеть данный решенный вопрос.
Легко страно, что это заняло бы у этого большое количество времени для возвращения для исполнения его».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.