A hónapnak ez az ideje, amikor a Microsoft kiadta a sebezhetőségek kijavítását célzó javító keddjét. A múlt hónap Patch kedd kérdéseket vetett fel a felhasználók számára as még mindig hibákat okoztak, „félkész”. Ez a nyolcadik Patch kedd az év nyolc új biztonsági közleményével (egybeesés?) érkezik, amelyek közül csak hármat minősítettek „kritikusnak”, ötöt pedig „fontosnak”.
A Microsoft által kiadott nyolc biztonsági közlemény 23 sebezhetőség megszüntetése a Windows, az Internet Explorer és az Exchange szolgáltatásból. A legfontosabb javítások, a Microsoft ajánlása szerint, az MS13-059 (Internet Explorer) és az MS13-060 (Windows XP és Server 2003.). Ezeknek az elsőbbségi javításoknak a telepítése után javítania kell a Microsoft minden más szoftverét, amelyet a legfelső szintű biztonság biztosítása érdekében használ
23 sebezhetőséget találtak a Patch kedden
Az MS13-059 számú biztonsági közlemény az Internet Explorer fontos biztonsági frissítése, amely 11 magántulajdonban lévő biztonsági rést fed le. Nem tudjuk, hogy ezeket széles körben használták-e, vagy hackerek erőteljesen kihasználták őket.
A legsúlyosabb biztonsági rések távoli kódfuttatást tehetnek lehetővé, ha a felhasználó egy speciálisan kialakított weboldalt tekint meg az Internet Explorer használatával. Az ilyen támadók közül a legsúlyosabbat kihasználó támadó ugyanolyan felhasználói jogokat szerezhet, mint a jelenlegi felhasználó.
Az MS13-060 számú biztonsági közlemény javítja a Microsoft Exchange Server Unicode parancsfájl-feldolgozójának megtalálható biztonsági rését, lehetővé téve a hackerek számára, hogy a betűtípusokat támadási vektorként jelenítse meg. A Qualys CTO Wolfgang Kandek kifejtette:
A betűtípusokat a rendszermag szintjén rajzolják ki, tehát ha valahogy befolyásolni tudja a betűtípusok rajzát és túlcsordítja azt. Ez lehetővé tenné a támadó számára az áldozat számítógépének irányítását.
Amol Sarwate, a Qualys Vulnerability Labs igazgatója:
Nagyon csábító támadási vektor. A támadónak csak annyit kellene tennie, hogy egy dokumentumhoz, e-mailhez vagy rosszindulatú weboldalhoz kell irányítania az áldozatot a biztonsági rés kihasználása érdekében.
A fentieken kívül íme néhány más kiemelés és „finomság” az e havi Patch keddből és a többi biztonsági közlemény leírása:
- MS13-061 - sebezhetőség az „Outside In” Oracle könyvtárakban
- MS13-062 - az RPC kezelőkódját érintő biztonsági rés az összes Windows verzióban
- MS13-063 - az ASLR (Address Space Layout Randomization) és a 3 kern sérülékenységi sebezhetőségének megkerülése a privilégiumok emelésének lehetővé tétele érdekében
- MS13-064 - egyetlen szolgáltatásmegtagadási biztonsági rés a Windows Server 2012 NAT illesztőprogramban
- MS13-065 - egyetlen szolgáltatásmegtagadási biztonsági rés az IPv6-veremben a Windows összes verziójában, az XP és a Server 2003 kivételével
- MS13-066 - információszolgáltatási sebezhetőség az Active Directory összevonási szolgáltatásokban (AD FS) a Windows Server összes Intel-alapú verziójában, a Server Core kivételével.
Emellett a Microsoft frissítette a Windows 8 és az RT rendszert „a Windows Defender védelmi funkcióinak javítása érdekében”.
