비디오: Using Internet Explorer 6 in 2016: Is It Possible? (십월 2024)
Microsoft는 3 월 패치 화요일 업데이트의 일부로 Internet Explorer, Microsoft Windows 및 Silverlight에서 23 개의 취약점을 수정하여 5 개의 패치 ("치명적", 3 개는 "중요")를 발표했습니다. 또한 IE 패치는 2 월 이후 공격자가 악용 한 제로 데이 취약점을 막았습니다.
공격자들은 지난 달 Internet Explorer 10에서 SnowMan 작전의 일환으로 중요한 제로 데이 취약점 (CVE-2014-0322)을 악용했습니다. SnowMan 작전의 일환으로 미국 외래 참전 용사에 속하는 웹 사이트를 손상시키고 프랑스를 사칭하는 다른 공격에 항공 우주 제조업체. IE 패치 (MS14-022)는 Internet Explorer 8 (CVE-2014-0324), Microsoft Trustworthy Computing의 그룹 관리자 인 Dustin Childs에 대한 제한적인 대상 공격에 사용 된 취약점을 포함하여 17 개의 다른 취약점을 해결합니다. Microsoft 보안 대응 센터 블로그에 썼습니다.
Childs는 "확실히 IE 업데이트를 최우선으로해야한다"고 말했다.
Silverlight 관련 문제
다른 중요한 패치는 DirectShow의 중요한 원격 코드 실행 결함을 수정하고 여러 버전의 Windows에 영향을줍니다. BeyondTrust의 CTO 인 Marc Maiffret은 DirectShow가 JPEG 이미지를 파싱하는 방식에 취약점이 있다는 점에서이 결함을 악용 한 공격으로 인해 손상된 웹 페이지 내에 문서에 포함 된 악성 이미지가 삽입 될 가능성이 있다고 밝혔다. 관리자가 아닌 권한으로 실행하는 사용자는 공격자가 자신이 일으킬 수있는 피해가 제한되어 있기 때문에 이러한 공격의 영향을 덜받습니다.
Silverlight의 보안 기능 우회는 "중요"등급이지만 매우 우선 순위가 높아야합니다. 마이크로 소프트는 공격자들이 특수하게 조작 된 실버 라이트 콘텐츠를 포함하는 악의적 인 사이트로 사용자를 안내함으로써이 취약점을 악용 할 수 있다고 말했다. 위험한 것은 공격자가이 취약점을 악용함으로써 Windows에 내장 된 2 가지 악용 완화 기술인 ASLR과 DEP를 우회 할 수 있다는 점입니다. 공격자는 12 월에 패치 된 ASLR 우회 결함 (MS13-106)과 같이 시스템을 제어하기 위해 ASLR 및 DEP를 우회 한 후 원격 코드 실행을 달성하려면 2 차 악용이 필요합니다. Maiffret은 현재이 결함을 악용하는 공격은 없지만 패치가 적용될 때까지 Internet Explorer, Firefox 및 Chrome에서 Silverlight를 실행하지 못하도록 차단해야한다고 Maiffret 씨는 말했다. 이전 패치도 배포해야합니다.
타일러 레 글리는 "마이크로 소프트는 채택이 제한적일 때 많은 패치를 보게된다"면서 실버 라이트를 포기해야한다고 말했다. 마이크로 소프트는 최소한 2021 년까지 계속 지원할 것이기 때문에 "Silverlight를 모두 제거하고 최종 사용자 시스템의 보안을 효과적으로 강화할 수 있도록 Silverlight에서 마이그레이션을 시작해야한다"고 덧붙였다.
남은 Microsoft 패치
이후에 더 빨리 적용되어야하는 또 다른 패치는 지원되는 모든 Windows 버전 (이번 달에도 여전히 Windows XP 포함)에 영향을 미치므로 MS14-014 (권한 상승 취약점)를 해결하는 패치입니다. 이 결함을 악용하기 위해 침입자는 "유효한 로그온 자격 증명이 있어야하며 로컬로 로그온 할 수 있어야합니다"라고 경고했습니다.
마지막 패치는 공격자가 공격자에게 Active Directory 계정을 무차별 화하고 계정에서 잠기지 않도록하는 SAMR (Security Account Manager Remote) 프로토콜의 문제를 해결합니다. 패치는 공격을받을 때 Windows가 계정을 올바르게 잠그도록 해당 API 호출을 수정합니다. Reguly는 "암호 시도 잠금 정책은 무차별 대입 시도를 방지하고 악의적 인 공격자가 정책을 우회하도록 허용함으로써 제공되는 보호 기능을 완전히 무너 뜨린다"고 덧붙였다.
다른 소프트웨어 업데이트
이번 주 운영 체제 업데이트입니다. 애플은 이번 주 초 iOS 7.1을 출시했으며, Adobe는 오늘 두 가지 취약점을 해결하기 위해 Adobe Flash Player (APSB14-08)를 업데이트했습니다. 어도비에 따르면이 문제는 현재 악용되고 있지 않다.
Apple은 로컬 사용자가 영향을받는 장치의 임의 파일에 대한 권한을 변경할 수있는 충돌보고 문제, 예기치 않은 시스템 종료 또는 커널의 임의 코드 실행을 허용 할 수있는 충돌 문제를 포함하여 iOS 7의 중요한 문제를 해결했습니다., 권한이없는 사용자가 영향을받는 장치에서 코드 서명 요구 사항을 무시할 수있는 버그 Apple은 또한 공격자가 Enterprise App Download를 통해 악의적 인 앱을 다운로드하도록 유도 할 수있는 버그와 악의적으로 제작 된 백업 파일이 iOS 파일 시스템을 변경하도록하는 버그를 수정했습니다.
