비디오: Charter Course (십월 2024)
마이크로 소프트, 어도비, 오라클과 같은 소프트웨어 패치는 같은 날에 보안 업데이트를 모두 제공합니다.
예상 한대로 Microsoft는 상당히 가벼운 패치 화요일 릴리스로 2014 년에 시작하여 4 가지 보안 공지에서 중요하지 않은 6 가지 취약점을 수정했습니다. 같은 날 Adobe는 Adobe Reader, Acrobat 및 Flash의 3 가지 중요 원격 코드 실행 결함을 수정하여 2 가지 중요 업데이트를 발표했습니다. 스케줄링 문제로 인해 오라클의 분기 별 중요 패치 업데이트도 같은 화요일에 하락하여 IT 관리자가 처리 할 수있는 엄청난 양의 패치가 발생했습니다. Oracle은 Java, MySQL, VirtualBox 및 주요 Oracle 데이터베이스를 포함하여 40 개 제품에서 144 개의 취약점을 해결했습니다.
Qualys의 CTO 인 Wolfgang Kandek은“Microsoft가 단지 4 개의 업데이트를 발표하는 동안 Adobe와 Oracle의 릴리스로 인해 IT 관리자를위한 많은 작업이 이루어지고 있습니다.
전문가들은 오라클의 자바 패치가 최우선 순위가되어야하고, 이어서 Adobe Reader 및 Flash 권고와 Microsoft Word 및 XP 업데이트가 우선시되어야한다고 말했다.
오라클, 자바 인수
Oracle이 분기별로 패치를 적용하고 더 많은 제품을 수정하고 있음을 고려하더라도이 CPU는 여전히 해결 된 문제 수의 기록을 er습니다. 144 개의 보안 결함 중 82 개는 인증없이 원격으로 악용 될 수 있으므로 중요하다고 간주 될 수 있습니다.
Oracle의 gargantuan CPU에서 해결 된 대부분의 취약점은 Java v7에있었습니다. Oracle은 34 개의 원격 실행 결함을 수정했으며, Common Vulnerability Scoring System 규모에서 10 점을 받았습니다. CVSS는 결함의 심각성과 공격자가 시스템을 완전히 제어 할 가능성을 나타냅니다.
Java는 2013 년에 가장 많이 공격받은 소프트웨어 중 하나였으며 전문가들은이 소프트웨어가 계속해서 인기있는 대상이 될 것이라고 경고했습니다. 사용하지 않는 경우 제거하십시오. Java를 설치해야하는 경우, 지금까지의 모든 공격이 브라우저를 공격했기 때문에 웹 브라우저에서 최소한 Java를 비활성화하십시오. Java가 필요한 웹 응용 프로그램에 액세스하는 경우 기본 웹 브라우저와 다른 웹 브라우저에 유지하고 필요한 경우 전환하십시오. 필요하지 않은 경우 보관하지 마십시오. 보관하면 즉시 패치하십시오.
또한 오라클은 자체 Oracle 데이터베이스에 5 가지 보안 결함을 수정했으며 그 중 하나는 원격으로 악용 될 수 있으며 MySQL에는 18 가지 취약점이 있습니다. 이러한 버그 중 3 개는 원격으로 공격 할 수 있으며 최대 CVSS 점수는 10입니다. 서버 소프트웨어 Solaris에는 원격으로 공격 할 수있는 취약점을 포함하여 11 개의 결함이 있습니다. 가장 심각한 Solaris 버그의 CVSS 점수는 7.2입니다. CPU는 가상화 소프트웨어 VirtualBox를 포함하여 Oracle Virtualization Software의 9 가지 문제를 해결했으며 그 중 4 개가 원격으로 트리거 될 수있었습니다. 최대 CVSS 점수는 6.2입니다.
이러한 제품을 실행중인 경우 즉시 업데이트해야합니다. MySQL은 WordPress 및 phpBB를 포함하여 널리 사용되는 여러 CMS 및 포럼 소프트웨어의 백엔드 시스템으로 널리 사용됩니다.
리더 및 플래시 수정
악용 될 경우 공격자가 대상 시스템을 완전히 제어 할 수있는 Adobe Flash, Acrobat 및 Reader의 Adobe 보안 문제가 해결되었습니다. Acrobat 및 Reader 버그의 공격 경로는 악성 PDF 파일입니다. 악의적 인 웹 페이지를 방문하거나 내장 된 Flash 객체가있는 문서를 열면 Flash 결함을 악용 할 수 있습니다.
Adobe 제품에 대한 백그라운드 업데이트가 설정된 경우 업데이트가 원활해야합니다. Chrome 및 Internet Explorer 10 및 11 사용자는 브라우저가 소프트웨어를 자동으로 업데이트하므로 새 버전의 Flash에 대해 걱정할 필요가 없습니다.
가벼운 Microsoft 업데이트
Microsoft는 사용자가 부비 트랩 된 Word 파일을 열면 원격으로 악용 될 수있는 Microsoft Word (MS14-001)의 파일 형식 취약성을 수정했습니다. Office 2003, 2007, 2010 및 2013을 비롯한 Windows의 모든 Microsoft Word 버전과 Word 문서 뷰어에 영향을줍니다. Mac OS X 사용자는 영향을받지 않습니다.
지난 11 월에 발견 된 Windows XP 및 Server 2003 시스템에 영향을 미치는 제로 데이 취약점 (CVE-2013-5065)이 마침내 패치되었습니다 (MS14-002). NDProxy의 권한 상승 결함은 원격으로 실행할 수 없지만 다른 취약점과 결합 될 수 있기 때문에 우선 순위가 높아야합니다. 11 월의 공격은 악의적 인 PDF 문서를 사용하여 Windows 커널 버그에 액세스하기 위해 Adobe Reader (APSB13-15에서 2013 년 5 월 패치)에 결함을 유발했습니다. Microsoft는 Windows 7 및 Server 2008 (MS14-003)에서 비슷한 권한 상승 결함을 수정했습니다.
Rapid7은 "003이 아니라 002가 걱정된다면 4 월에 Windows XP 지원이 종료 될 때 몇 가지 문제가 발생할 수있다"고 말했다.
트러스트 웨이브는 이러한 취약점은 그 자체로 치명적이지는 않지만 더 심각 할 수 있다고 경고했다. 악의적 인 Office 문서를 사용하는 캠페인이 권한 상승 버그를 대상으로하는 코드를 실행 한 경우 "의심없는 사용자에게 피싱 전자 메일 만 있으면됩니다"라고 팀은 말했습니다.
