Monster Microsoft Patch วันอังคารมุ่งเน้นไปที่ Windows, Explorer, Exchange

นอกเหนือจากการครอบคลุม Windows และ Internet Explorer แล้วแพ็ตช์รายเดือนล่าสุดของ Microsoft จะครอบคลุม Exchange Server ที่ใช้กันอย่างแพร่หลายทั้งรุ่น Exchange Server 2007 และ Exchange Server 2010

"Microsoft "แอนดรูว์ Storms ผู้อำนวยการฝ่ายปฏิบัติการรักษาความปลอดภัยสำหรับ บริษัท รักษาความปลอดภัย nCircle เขียนไว้ในอีเมลโดยรวมแล้วไมโครซอฟท์ได้ออกโปรแกรมปรับปรุงความปลอดภัย 12 ฉบับซึ่งครอบคลุมช่องโหว่ 57 ช่องโหว่ ของชุดอัพเดตความปลอดภัยที่ใหญ่ที่สุดของ บริษัท ที่เคยเปิดตัว

<การอ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ>

Microsoft ติดแท็กการอัปเดต 5 รายการจาก 12 รายการเป็นสิ่งสำคัญและมีป้ายกำกับ d ส่วนที่เหลืออีกเจ็ดข้อสำคัญ

ผู้บริหารระบบดูแลการปรับใช้ Microsoft Exchange ควรตรวจสอบแพทช์ด้านความปลอดภัยล่าสุดของไมโครซอฟท์

Patch NC First

NCircle แนะนำให้องค์กรใช้แพทช์ Internet Explorer สองตัวที่สำคัญ. "ข้อบกพร่องในการดำเนินงานทั้งสองแบบนี้เป็นความเสี่ยงด้านความปลอดภัยอย่างร้ายแรงดังนั้นจึงต้องแก้ไขปัญหาเหล่านี้ทั้งหมดและแก้ไขปัญหาเหล่านี้ได้อย่างรวดเร็ว" Storms เขียน สองแพทช์สำคัญครอบคลุมรุ่น 6 ถึง 10 ของเบราเซอร์

"แถลงการณ์ทั้งสองแก้ไข" ไดรฟ์โดยบัก "ที่ต้องการเฉพาะเหยื่อเพื่อเรียกดูเว็บไซต์ที่จะติดเชื้อด้วยรหัสที่เป็นอันตราย" Storms wrote

Microsoft บูเลทีนการรักษาความปลอดภัย MS13-010 อธิบายถึงช่องโหว่ในการใช้งานภาษาเวกเตอร์มาร์กอัป (VML) ของ Internet Explorer ซึ่งอาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลได้ ช่องโหว่ดังกล่าวถูกนำมาใช้ในการโจมตีครั้งเดียวและคาดว่าจะมีการโจมตีเพิ่มขึ้นภายใน 30 วันข้างหน้าตามที่ Microsoft ได้ระบุไว้

นอกจากนี้ Direct Internet Explorer ยังกล่าวถึง 13 ช่องโหว่ที่แตกต่างกัน พบในส่วนที่ทับซ้อนกันของฐานรหัสของเบราเซอร์ ไมโครซอฟต์คาดว่าช่องโหว่ดังกล่าวจะใช้ประโยชน์ภายใน 30 วันข้างหน้าด้วยเช่นกัน

Windows updates

Windows มีการอัปเดตที่สำคัญสองอย่าง สำหรับ Windows XP, Windows Server 2003, Windows Vista และ Windows Server 2008 MS13-011 จะกล่าวถึงช่องโหว่ที่สำคัญใน Windows Media Player ซึ่งจะช่วยให้โค้ดที่ฝังอยู่ในไฟล์มีเดียทำงานได้เมื่อไฟล์ถูกบีบอัดโดยซอฟต์แวร์ และสำหรับ Windows XP SP3 MS13-020 ยังอธิบายช่องโหว่ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลซึ่งจะเกิดขึ้นหากผู้ใช้เปิดขึ้นใน Microsoft Word หรือ Wordpad RTF (เอกสารรูปแบบ Rich Text Format) ด้วยรหัสลับ ตัวควบคุม ActiveX แบบฝังตัว

การปรับปรุง Microsoft Exchange

Microsoft Exchange เป็นจุดสำคัญของการอัปเดตที่สำคัญข้อที่ห้า

ในขณะที่ Windows และ Explorer ได้รับการอัปเดตเป็นประจำทุกเดือนลักษณะที่ปรากฏของช่องโหว่ Exchange ค่อนข้างจะหายากมาก กระดานข่าวของ Microsoft MS13-012 อธิบายช่องโหว่ Exchange ผู้โจมตีสามารถประนีประนอมการติดตั้ง Microsoft Exchange โดยการให้ผู้ใช้ Outlook Web Access คลิกที่ไฟล์แนบที่สร้างขึ้นโดยมีเจตนาร้าย ช่องโหว่นี้เกิดจากไลบรารีที่ Oracle จัดหาให้โดยเรียกว่า Oracle Outside In เพื่อแปลงไฟล์ในรูปแบบต่างๆเพื่อให้สามารถดูได้ในเบราเซอร์ การคลิกที่สิ่งที่แนบอาจทำให้โค้ดฝังตัวทำงานได้บนเซิร์ฟเวอร์

การอัปเดต "สำคัญ" เจ็ดรายการมีสองสำหรับ Windows Servers หนึ่งสำหรับเดสก์ท็อปของ Windows และอีกสองรุ่นสำหรับเซิร์ฟเวอร์หรือ Windows รุ่นเดสก์ท็อป. การอัพเดตที่สำคัญอย่างหนึ่งคือสำหรับ. Net framework และอีกส่วนหนึ่งสำหรับส่วนเซิร์ฟเวอร์ Fast Search ของ SharePoint

NCircle ชี้นำผู้ใช้ VMware ESXi hypervisor เพื่อดู MS13-014 ซึ่งอธิบายถึงวิธีการทำงานของ NFS (Network File Server) ที่ทำงานภายใต้ Windows Server 2008 R2 และ Windows Server 2012 อาจเสี่ยงต่อการโจมตีแบบปฏิเสธการให้บริการ "นี่มีโอกาสที่จะสร้างความเสียหายให้กับโครงสร้างพื้นฐานเสมือนจริงของคุณโดยไม่ได้ตั้งใจหากทุกอย่างติดตั้งโดยใช้ Windows NFS" ไทเลอร์รียิย์หัวหน้าฝ่ายเทคนิคด้านการวิจัยด้านความปลอดภัยและการพัฒนาของ nCircle กล่าวในแถลงการณ์ทางอีเมล

ไมโครซอฟท์ออกแพทช์รักษาความปลอดภัยเป็นประจำ ซอฟต์แวร์ในวันอังคารที่สองของแต่ละเดือน ความสามารถในการคาดเดาของ Patch Tuesday ได้ถูกเรียกว่าบ่อยครั้งช่วยให้ผู้ดูแลระบบสามารถจัดสรรเวลาในการปรับปรุงระบบได้ เช่นเดียวกับการอัปเดตระบบไอทีที่สำคัญผู้ดูแลระบบควรใช้การอัปเดตในสภาพแวดล้อมการทดสอบเพื่อตรวจสอบการโต้ตอบที่ไม่คาดคิดกับฮาร์ดแวร์หรือซอฟต์แวร์อื่น ๆ การอัปเดตทั้งหมดในชุดประจำเดือนนี้อาจต้องเริ่มต้นระบบใหม่

การปรับปรุงความปลอดภัยจะมีให้ใช้ที่ศูนย์ดาวน์โหลดของ Microsoft ผ่าน WSUS (Windows Server Update Services) และสำหรับผู้บริโภคผ่านกระบวนการ Windows Update