Week 0
Υπάρχουν μόνο δύο κρίσιμα ενημερωτικά δελτία αυτού του μήνα, αλλά η μηδενική μέρα του Internet Explorer παραμένει ευάλωτη. Ανοίξτε πάλι την Τρίτη. Αυτό το μήνα η Microsoft έχει εξαπολύσει εννέα νέα δελτία ασφαλείας. Εννέα είναι ένας αρκετά υψηλός αριθμός ενημερώσεων, ωστόσο μόνο δύο από αυτούς έχουν χαρακτηριστεί κρίσιμες. Έτσι, είναι πραγματικά λίγο πιο πίσω από τους περισσότερους μήνες, αλλά εξακολουθεί να υπάρχει λόγος ανησυχίας.
Υπάρχουν επτά δελτία ασφαλείας αξιολογούμενα ως Σημαντικά, τα οποία επηρεάζουν μια σειρά πλατφορμών και υπηρεσιών, συμπεριλαμβανομένης της υπηρεσίας καταλόγου Active Directory, του λογισμικού αντιμετώπισης προβλημάτων των Windows και τον πυρήνα των Windows. Τα δύο ενημερωτικά δελτία ασφαλείας κρίσιμης σημασίας ισχύουν για τον Internet Explorer και την απομακρυσμένη επιφάνεια εργασίας. Να είστε έτοιμοι - τα περισσότερα από τα patches απαιτούν επανεκκίνηση.
Ο Wolfgang Kandek, CTO της Qualys, προτείνει ότι οι διαχειριστές IT εστιάζουν πρώτα στον Internet Explorer. "Αυτό το μήνα, το πιο σημαντικό ενημερωτικό δελτίο που αφορά την υποδομή σας είναι το MS13-028, το οποίο περιέχει μια νέα έκδοση του Internet Explorer (IE) που καλύπτει όλες τις εκδόσεις του προγράμματος περιήγησης ξεκινώντας από το IE6 που πηγαίνει στο IE10, "
Ο Andrew Storms, διευθυντής επιχειρήσεων ασφάλειας για την nCircle (εταιρεία Tripwire), συμφωνεί ότι ο Internet Explorer αξίζει προσοχής, αλλά προσθέτει ότι ο Internet Explorer στερείται της συνήθους επείγουσας επείγουσας επιδιόρθωσης. Η Microsoft έχει αναθέσει τα υποκείμενα ελαττώματα IE με μια βαθμολογία δείκτη εκμετάλλευσης δύο, γεγονός που δείχνει ότι η Microsoft πιστεύει ότι είναι εξαιρετικά δύσκολο να εκμεταλλευτεί και δεν υπάρχει πιθανότητα επιτυχούς εκμετάλλευσης τις επόμενες 30 ημέρες.
Δεν είναι όλα ηλιοφάνεια και τριαντάφυλλα, όμως, σύμφωνα με τον Marc Maiffret, CTO του BeyondTrust. Πρώτον, επισημαίνει ότι τα ελαττώματα που αντιμετωπίζονται στην ενημερωμένη έκδοση του Internet Explorer επηρεάζουν όλες τις υποστηριζόμενες εκδόσεις του Internet Explorer και προειδοποιεί ότι οι επιτιθέμενοι θα εργάζονται επιμελώς για να αναπτύξουν εκμετάλλευση με μια τόσο μεγάλη ομάδα πιθανών στόχων.
Η εταιρεία έχει ήδη κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα για το LinkScanner Το Anti-Virus Free Edition 8.0 και θα κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα για τις πληρωμένες εκδόσεις του λογισμικού την Τρίτη, δήλωσε ο Lloyd Borrett, διαχειριστής μάρκετινγκ για το AVG στην Αυστραλία και τη Νέα Ζηλανδία.
Η συμπεριφορά του LinkScanner της AVG προκάλεσε μεγάλη εχθρότητα έναντι της Τσεχίας που βασίζεται στην ιστοσελίδα, συμπεριλαμβανομένης μιας ιστοσελίδας αφιερωμένης στο ζήτημα, παρά τη δημοτικότητα του δωρεάν λογισμικού ασφαλείας.
Η Adobe Systems δημοσίευσε μια ενημερωμένη έκδοση ασφαλείας για την Shockwave Player της για να διορθώσει μια κρίσιμη ευπάθεια. κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα για τον Shockwave Player για να διορθώσει μια κρίσιμη ευπάθεια, η εταιρία έγραψε στο blog ασφαλείας της την Τρίτη
Η Adobe δεν έδωσε πολλές λεπτομέρειες για την ευπάθεια, αλλά έγραψε ότι είναι απομακρυσμένη εκμετάλλευση, για να μολύνει έναν υπολογιστή με κακόβουλο λογισμικό μέσω του Διαδικτύου.
Μέχρι στιγμής, η Microsoft λέει ότι έχει λάβει αναφορές για "μικρό αριθμό στοχοθετημένων επιθέσεων" χρησιμοποιώντας αυτό το exploit. Ο κατασκευαστής λογισμικού εργάζεται σε μια ενημερωμένη έκδοση κώδικα ασφαλείας για το πρόβλημα, αλλά η εταιρεία δεν έχει πει ακόμα αν θα εκδώσει μια ενημερωμένη έκδοση ασφαλείας το συντομότερο δυνατόν ή ως μέρος του μηνιαίου κύκλου ενημερώσεων "Τρίτη". Το επόμενο "patch Tuesday" θα είναι η 9η Οκτωβρίου.
Το εκμεταλλευόμενο έγινε δημοσιευμένο στο έργο Metasploit Project Rapid7 και ανακαλύφθηκε για πρώτη φορά σε άγρια κατάσταση από τον ερευνητή ασφαλείας Eric Romang. Η Metasploit συμβουλεύει τους χρήστες να εκφορτώσουν το IE έως ότου η Microsoft εκδώσει μια ενημερωμένη έκδοση ασφαλείας. Το νέο ελάττωμα ασφαλείας του IE αναπτύχθηκε από την ίδια ομάδα που δημιούργησε το πρόσφατο ελάττωμα ημέρας Java, σύμφωνα με το Metasploit.