თვის ის დროა, როდესაც მაიკროსოფტმა გამოუშვა Patch სამშაბათს, რომელიც მიზნად ისახავდა სისუსტეების გამოსწორებას. გასული თვის პატჩი სამშაბათს მომხმარებლებს რამდენიმე საკითხი დაუსვა ისინი კვლავ შეცდომებს იწვევდნენ, "ნახევრად გამომცხვარი". ეს მერვეა პატჩი სამშაბათს წლის განმავლობაში მას გააჩნია უსაფრთხოების ახალი რვა ბიულეტენი (დამთხვევა?), მხოლოდ სამი შეფასდა, როგორც "კრიტიკული" და ხუთი "მნიშვნელოვანი".
Microsoft– ის მიერ გამოქვეყნებული რვა უსაფრთხოების ბიულეტენი 23 დაუცველობის მოგვარება Windows- იდან, Internet Explorer- დან და Exchange- დან. Microsoft– ის რეკომენდაციით, ყველაზე მნიშვნელოვანი პატჩებია MS13-059 (Internet Explorer) და MS13-060 (Windows XP და Server 2003.). პირველი პრიორიტეტული პატჩების გამოყენების შემდეგ, Microsoft– ის ყველა სხვა პროგრამული უზრუნველყოფა უნდა დაპატაროთ, რომელსაც იყენებთ, რათა დარწმუნდეთ, რომ მაღალი დონის დაცვა გაქვთ.
23 დაუცველობა ნაპოვნია პატჩ სამშაბათს
უსაფრთხოების ბიულეტენი MS13-059 არის უსაფრთხოების მნიშვნელოვანი განახლება Internet Explorer– ისთვის, რომელიც მოიცავს 11 პირადად გამჟღავნებულ სისუსტეებს. ჩვენ არ ვიცით, ფართოდ არის გამოყენებული თუ არა ისინი ჰაკერების მიერ დიდი ექსპლოატაციით.
ყველაზე მწვავე სისუსტეებმა შეიძლება დაუშვან დისტანციური კოდის შესრულება, თუ მომხმარებელი დაათვალიერებს სპეციალურად შექმნილ ვებ-გვერდს Internet Explorer- ის გამოყენებით. თავდამსხმელმა, რომელიც წარმატებით გამოიყენა ამ ყველაზე დაუცველი მხარეები, შეუძლია მოიპოვოს იგივე მომხმარებლის უფლებები, როგორც ამჟამინდელი მომხმარებელი.
უსაფრთხოების ბიულეტენი MS13-060 ინახავს დაუცველობას Microsoft Exchange Server- ის უნიკოდის სკრიპტის დამამუშავებლისთვის, რაც ჰაკერებს საშუალებას აძლევს, შრიფტები გაუკეთონ შეტევის ვექტორს. Qualys CTO ვოლფგანგ კანდეკმა განმარტა:
შრიფტები შედგენილია ბირთვის დონეზე, ასე რომ, თუ შეგიძლიათ როგორმე მოახდინოთ გავლენა შრიფტის ნახატზე და გადაფრენა მასზე. ეს თავდამსხმელს მისცემდა კონტროლს მსხვერპლის კომპიუტერზე.
Amol Sarwate, Qualys დაუცველობის ლაბორატორიის დირექტორი:
ეს ძალიან მაცდუნებელი შეტევის ვექტორია. თავდამსხმელს მხოლოდ ის უნდა მიმართოს, რომ მას მიაწოდოს დოკუმენტი, ელ.წერილი ან მავნე ვებგვერდი, რომ გამოიყენოს მოწყვლადობა.
გარდა ზემოთქმულისა, მოცემულია ამ თვის Patch სამშაბათის რამდენიმე მნიშვნელოვანი მნიშვნელოვანი და "სიკეთე" და უსაფრთხოების დანარჩენი ბიულეტენების აღწერა:
- MS13-061 - დაუცველი Oracle- ის ბიბლიოთეკები "გარეთ"
- MS13-062 - დაუცველობა, რომელიც გავლენას ახდენს RPC დამუშავების კოდზე ყველა Windows ვერსიაში
- MS13-063 - ASLR გვერდის ავლით (მისამართის სივრცის განლაგების რანდომიზაცია) და 3 ბირთვის კორუფციული სისუსტეები პრივილეგიის ამაღლების დასაშვებად
- MS13-064 - Windows Server 2012 NAT დრაივერში მომსახურების დაუცველობა
- MS13-065 - სერვისის დაუცველობა ერთჯერადად უარყოფით IPv6 სტეკში Windows- ის ყველა ვერსიაში, XP და Server 2003-ის გარდა
- MS13-066 - ინფორმაციის გამჟღავნების დაუცველობა Active Directory ფედერაციის სერვისებში (AD FS) Windows Server- ის ყველა Intel- ზე დაფუძნებულ ვერსიებში, გარდა Server Core.
ამის გარდა, Microsoft- მა განაახლა Windows 8 და RT "Windows Defender- ში დაცვის ფუნქციონირების გასაუმჯობესებლად".
