Jest to pora miesiąca, w której Microsoft opublikował łatkę we wtorek mającą na celu usunięcie luk. Aktualizacja z zeszłego miesiąca we wtorek nałożyła pewne problemy na użytkowników, ponieważ wciąż powodowali błędy, ponieważ byli „na wpół upieczeni”. Jest to ósmy wtorek łaty tego roku i zawiera osiem nowych biuletynów bezpieczeństwa (zbieg okoliczności?), Z których tylko trzy są oceniane jako „Krytyczne”, a pięć jako „Ważne”.

W ośmiu wydanych przez Microsoft biuletynach bezpieczeństwa opisano 23 luki w zabezpieczeniach systemów Windows, Internet Explorer i Exchange. Najważniejsze łaty, zgodnie z zaleceniami Microsoftu, to MS13-059 (Internet Explorer) i MS13-060 (Windows XP i Server 2003.). Po zastosowaniu tych poprawek o najwyższym priorytecie należy łatać każde inne oprogramowanie firmy Microsoft, którego używasz, aby upewnić się, że masz najwyższy poziom bezpieczeństwa

23 usterki wykryte w aktualizacji wtorek

Biuletyn zabezpieczeń MS13-059 to ważna aktualizacja zabezpieczeń dla programu Internet Explorer, która obejmuje 11 luk w zabezpieczeniach ujawnionych przez użytkowników. Nie wiemy, czy były one powszechnie używane, czy też były mocno wykorzystywane przez hakerów.

Najpoważniejsze luki w zabezpieczeniach mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę internetową za pomocą przeglądarki Internet Explorer. Osoba atakująca, której uda się wykorzystać najpoważniejszą z tych luk, może uzyskać takie same uprawnienia, jak obecny użytkownik.

Biuletyn zabezpieczeń MS13-060 usuwa lukę znalezioną w procesorze skryptów Unicode Microsoft Exchange Server, umożliwiając hakerom renderowanie czcionek jako wektora ataku. Wolfgang Kandek, CTO Qualys, wyjaśnił:

Czcionki są rysowane na poziomie jądra, więc jeśli możesz w jakiś sposób wpłynąć na rysunek czcionek i przepełnić go. Dałoby to atakującemu kontrolę nad komputerem ofiary.

Amol Sarwate, dyrektor Qualys Vulnerability Labs:

To bardzo kuszący wektor ataku. Aby wykorzystać tę lukę, atakujący musiałby tylko skierować ofiarę do dokumentu, wiadomości e-mail lub złośliwej strony internetowej.

Oprócz powyższego, oto kilka innych atrakcji i „dodatków” z łatki z tego miesiąca oraz opis pozostałych biuletynów bezpieczeństwa:

• MS13-061 - Luka w zabezpieczeniach bibliotek Oracle „Outside In”
• MS13-062 - Luka wpływająca na kod obsługi RPC we wszystkich wersjach systemu Windows
• MS13-063 - obejście ASLR (Randomization Space Space Layout) i 3 luk w zabezpieczeniach jądra w celu umożliwienia podniesienia uprawnień
• MS13-064 - usterka związana z pojedynczą odmową usługi w sterowniku NAT systemu Windows Server 2012
• MS13-065 - Luka w zabezpieczeniach związana z pojedynczą odmową usługi w stosie IPv6 we wszystkich wersjach systemu Windows oprócz XP i Server 2003
• MS13-066 - Luka w ujawnianiu informacji w usługach federacyjnych Active Directory (AD FS) we wszystkich wersjach systemu Windows Server innych niż Server Core z procesorami Intel.

Poza tym Microsoft zaktualizował także Windows 8 i RT „w celu poprawy funkcjonalności ochrony w Windows Defender”.