Microsoft SDET Explains Why Windows 10 Bugs Exist ??
Sisällysluettelo:
Microsoftin viimeisimmän kuukausittaisen korjaustiedon lisäksi Windowsin ja Internet Explorerin kattavuus kattaa laajalti käytössä olevan Exchange Server -palvelimen sekä Exchange Server 2007- että Exchange Server 2010 -versiot.
"Microsoft toimitti monsterikokoisen laastarin tänä kuussa … Riittää, että pääsi pyöräyttämään ", kirjoitti tietosuojayrityksen nCircle turvallisuustoiminnan johtaja Andrew Storms.
Kaiken kaikkiaan Microsoft julkaisi 12 tietoturvapäivitystä, joista 57 oli haavoittuvuutta, yksi
[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]Microsoft merkitsi viisi 12 päivityksestä kriittiseksi ja merkintä d jäljellä olevat seitsemän tärkeää.
Järjestelmänvalvojat, jotka valvovat Microsoft Exchange -ratkaisuja, on tarkasteltava tarkasti Microsoftin viimeisintä tietoturvakorjausta.
Patch IE first
NCircle suosittelee, että organisaatiot käyttävät ensin kahta kriittistä Internet Explorer-korjaustiedostoa. "Molemmat kauko-ohjattavat virheet ovat vakavia turvallisuusriskejä, joten korjaa ne kaikki ja korjaa ne nopeasti", Storms kirjoitti. Nämä kaksi kriittistä laastaria ovat selaimen versiot 6-10.
"Molemmat tiedotteet vahvistavat" vikasietovirheet ", jotka vaativat vain uhrin selata verkkosivustoa saastuttamalla haitallisella koodilla." Storms wrote.
Microsoft Tietoturvatiedote MS13-010 kuvaa haavoittuvuuden Internet Explorerin vektorimerkinnän kielen (VML) käyttöönotossa, joka voi mahdollistaa koodin etäsuorittamisen. Tätä haavoittuvuutta on jo käytetty yhdessä hyökkäyksessä, ja Microsoftin mukaan on odotettavissa useita hyökkäyksiä seuraavien 30 päivän aikana.
Internet Explorerin kohdalla myös MS13-009 kuvaa 13 eri heikkoutta, jotka ryhmitellään yhdessä päivityksessä, koska ne löytyvät selaimen koodipohjan päällekkäisiltä osilta.
NCircle ilmoitti myös, että Explorerin asennuksen lisäksi ylläpitäjien olisi käytettävä korjaustiedostoja, jotka Adobe julkaisi tiistaina Flashille ja, jos käytössä, Shockwave.
"< Jos sinulla on vain aikaa tehdä ehdoton vähimmäisvaatimus, sinun on patch Internet Explorer ja Flash välittömästi, "Storms kirjoitti.
Windowsin päivitykset
Windowsilla on kaksi tärkeätä päivitystä. Windows XP, Windows Server 2003, Windows Vista ja Windows Server 2008, MS13-011 käsitellään Windows Media Playerin kriittistä haavoittuvuutta, joka mahdollistaa mediatiedostoon upotetun koodin suorittamisen, kun ohjelmisto purkaa tiedoston. Ja Windows XP SP3: ssa MS13-020 kuvaa myös haavoittuvuutta, joka voi johtaa koodin etäsuorittamiseen, mikä tapahtuisi, jos käyttäjä avaa joko Microsoft Word- tai Wordpad-RTF (Rich Text Format Document) salaa
Microsoft Exchange -päivitys
Microsoft Exchange on viidennen kriittisen päivityksen painopiste.
Vaikka Windows ja Explorer päivittyvät melko paljon joka kuukausi, Exchange-haavoittuvuuden esiintyminen on hieman harvinaisempaa. Microsoftin tietoturvatiedote MS13-012 selittää Exchange-haavoittuvuuden. Hyökkääjät voivat vaarantaa Microsoft Exchangein käytön ottamalla Outlook Web Accessin käyttäjän käyttöön napsauttamalla vihamielistä liitetiedostoa. Haavoittuvuus johtuu itse Oraclen toimittamasta Oracle Outside In -kirjastosta, joka muuntaa tiedostot eri muodoissa, jotta ne voidaan katsella selaimessa. Napsauttamalla liitetiedostoa voi käynnistää sulautetun koodin suoritettavaksi palvelimelle.
Seitsemästä "tärkeästä" päivityksestä kaksi on Windows-palvelimille, yksi Windows-työpöytäversioista ja kaksi Windowsin palvelimelle tai työpöydälle. Yksi tärkeä päivitys on.Net-kehykselle, ja yksi on SharePointin pikahakupalvelinosalle.
NCircle ohjasi VMware ESXi hypervisorin käyttäjiä ottaakseen tarkan esiin MS13-014, joka kertoo, kuinka NFS (Network File Server) -toiminnot toimivat Windows Server 2008 R2: n ja Windows Server 2012: n välityksellä, voivat olla haavoittuvia palvelunestohyökkäykselle. "Tämä voi vahingossa vahingoittaa virtuaalista infrastruktuuria, jos kaikki asennetaan Windows NFS -osakkeilla", kirjoitti Tyler Reguly, nCircle tietoturvatieteellisen tutkimuksen ja kehittämisen tekninen johtaja.
Microsoft julkaisee rutiininomaisesti tietoturvakorjauksia sen ohjelmistoa kunkin kuukauden toisena tiistaina. Lokakuun ennustettavuus tiistaina, kuten usein kutsutaan, antaa järjestelmänvalvojille mahdollisuuden varata aikaa päivittää järjestelmäänsä. Kuten kriittisten tietojärjestelmien päivityksissä, järjestelmänvalvojia kannustetaan soveltamaan päivityksiä testausympäristössä, jotta voidaan tarkistaa ennakoimattomat vuorovaikutukset laitteiston tai muun ohjelmiston kanssa.
Tietoturvapäivitykset ovat saatavilla Microsoft Download Centerissä WSUS: n (Windows Server Update Services) kautta ja kuluttajille Windows Update -prosessin kautta.
Internet Explorer 8 keskittyy parantamaan tietoturvaa ja tietosuojaa
Jotkut julkaisun ehdokkaan 1 ominaisuuksista, jotka ovat nyt yleisön saatavilla, ovat samanlaisia kuin joka on jo sisällytetty Firefox 3: een.
Patch Tuesday korjaa vakavia nollapäivän reikiä ja jättää toisen avoimen
Microsoftin kuukausittainen korjausprosessi sulkee kaksi hyökkäysvirheitä, joihin liittyy ActiveX ja QuickTime-tiedostoja ja muita suojausreikiä.
Microsoft Research ilmoitti käynnistää interaktiivisen selainpohjaisen Code Huntin pelin. Code Hunt toimii Microsoft Azure -ohjelmassa ja keskittyy kahteen kieliversioon Java ja C #.
Oppimisen pelattavuus on nykyään hyvin muodissa ja miksi ei, koska se tekee asioista helpompaa! Microsoft on seurannut myös trendiä. Ohjelman jättiläinen ilmoitti äskettäin