Microsoft a lansat martea trecuta (Patch Tuesday) o noua serie de update-uri de securitate pentru a elimina un total de 23 de vulnerabilitati din Internet Explorer, Windows si Microsoft Office, inclusiv una care este exploatata in mod activ de catre atacatori. De asemenea, a fost imbunatatita si gestionarea certificatelor digitale in Windows.
Doar buletinul de securitate pentru Internet Explorer, identificat ca MS13-047, este evaluat ca fiind critic. Acesta se adreseaza celor 19 vulnerabilitati raportate, care afecteaza toate versiunile de Internet Explorer, de la IE 6 pana la 10, si care ar putea permite atacatorilor sa execute cod pe calculatoare cu privilegiile utilizatorului activ.
Pentru a putea exploata una dintre aceste vulnerabilitati, atacatorii nu trebuie decat sa creeze o pagina web malware si sa pacaleasca utilizatorii sa o viziteze. Cu toate acestea, pe Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 si Windows Server 2012, Internet Explorer ruleaza in modul restrans numit Enhanced Security Configuration, care practic elimina aceasta vulnerabilitate.
Una dintre vulnerabilitatile care afecteaza Microsoft Office 2003 si Microsoft Office for Mac 2011 (cea mai recenta versiune de Office disponibila pentru Mac OS X) permite executarea de cod de la distanta si este exploatata in mod activ in atacurile directionate. In ciuda acestui fapt, Microsoft a evaluat aceasta vulnerabilitate ca fiind importanta si nu critica.
Alt buletin de securitate publicat marti, MS13-049, se refera la o vulnerabilitate de tip denial-of-service din driverul Windows TCP/IP, care afecteaza toate versiunile de Windows cu exceptia lui Windows XP si Windows Server 2003. Un atacator ar putea exploata aceasta vulnerabilitate prin trimiterea de pachete special create catre un sistem, fapt care ar putea face ca acesta sa nu mai raspunda.
Un alt buletin de securitate, MS13-048, se refera la o vulnerabilitate din kernelul Windows, care afecteaza doar versiunile pe 32 de biti ale Windows XP,Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 si Windows 8. Pentru a exploata aceasta vulnerabilitate, un atacator trebuie sa aibe acces la sistem pentru a executa o aplicatie special creata sau ar avea nevoie sa pacaleasca un utilizator local sa o execute.
Cu toate acestea, Microsoft nu a emis un patch pentru cea mai recenta vulnerabilitate zero-day dezvaluita recent de inginerul Google, Tavis Ormandy. Aceasta este o vulnerabilitate de tip elevation of privilege (EoP) si nu poate fi utilizata pentru executarea de cod de la distanta, dar ar putea fi utilizata in coroborare cu alte vulnerabilitati, astfel incat atacatorii ar putea incerca sa o foloseasca.
Probabil ca Microsoft are deja un patch pregatit, dar nu a fost testat suficient asa ca va fi lansat abia luna viitoare. Cu toate acestea, in cazul in care vulnerabilitatea incepe sa fie exploatata la scara larga, probabil ca patch-ul va fi lansat mai devreme.
Rugam toti clientii de hosting sa-si faca de urgenta aceste update-uri.