Programavimas

„Microsoft“ juodojo antradienio rinkliava: KB 3003743, IE11, EMET 5 ir saugos internetinės transliacijos

Lapkričio mėn. „Juodasis antradienis“ yra vienas iš visų laikų svarbiausių. Su 14 saugos naujinimų, kuriuose yra 33 atskirai nustatytų saugumo spragų pataisymai, 14 naujų nesaugumo pataisų, du senesnių saugos pataisų diegimo programų pakeitimai ir trys senesnių nesaugumo naujinimų pakeitimai. Bet patys pleistrai yra tik dalis istorijos.

Šio mėnesio juodojo antradienio pleistrai prasidėjo keistu, nors ir viltingu ženklu. Prieš išleisdama „Microsoft“ savanoriškai ištraukė du saugos biuletenius (su nežinomu susietų pataisų skaičiumi). Tiek MS14-068, tiek MS14-075 oficialioje Saugos biuletenio santraukoje yra išvardytos kaip „Išleidimo data turi būti nustatyta“. Dar niekada nemačiau to pavadinimo. Tikriausiai „Microsoft“ užklijavo klaidų klaidas ir jas ištraukė paskutinę minutę. Jei taip, tai labai teigiamas įvykis.

Matau atsitiktines KB 3003743 - MS14-074 dalis - ataskaitas, kurios nutraukė vienu metu vykstančias KPP sesijas. Plakatas „Turducken“ „Mano skaitmeninio gyvenimo“ forumuose jį įtvirtina:

Šiandienos naujiniuose yra KB3003743, o kartu su juo - termsrv.dll 6.1.7601.18637 versija

Jasonas Hartas taip pat tweeted, kad KB 3003743 žudo „NComputing“ virtualizavimo programinę įrangą.

Tai skamba primenant problemas, kurias praėjusį mėnesį sukėlė KB 2984972, kuri taip pat apiplėšė vienu metu vykstančias KPP sesijas kai kuriose mašinose. Lengvas sprendimas praėjusį mėnesį buvo pašalinti pleistrą ir RDP vėl pradėjo veikti. „Microsoft“ turi daug sudėtingesnį sprendimą KB 2984972 straipsnyje. Šiuo metu nėra jokių nuorodų, ar rankinis sprendimas veikia su KB 3003743. Aš taip pat negirdėjau, ar tai paveikė kokius nors „App-V“ paketus - tai dar vienas blogo KB 2984872 pataisos bruožas praėjusį mėnesį.

Jei naudojate IE11 ir EMET, prieš įdiegdami šio mėnesio MS14-065 / KB 3003057 pataisą, svarbu pereiti prie naujausios versijos EMET 5.1. „TechNet“ tinklaraštyje tai išdėstyta taip:

Jei naudojate „Internet Explorer 11“ „Windows 7“ arba „Windows 8.1“ ir įdiegėte „EMET 5.0“, ypač svarbu įdiegti „EMET 5.1“, nes suderinamumo problemos buvo nustatytos lapkričio mėn. „Internet Explorer“ saugos naujinime ir „EAF +“ švelninant. Taip, EMET 5.1 buvo ką tik išleista pirmadienį.

Spaudoje yra tam tikras susirūpinimas, kad naujai ištaisyta „schannel“ klaida gali būti tokia pat plati ir išnaudojama, kaip liūdnai pagarsėjusi „OpenSSL Heartbleed“ skylė, atrasta anksčiau šiais metais.

Be jokios abejonės, MS14-066 / KB 2992611 turėtumėte įdiegti bet kuriame „Windows“ kompiuteryje, kuriame veikia žiniatinklio, FTP arba el. Pašto serveris - anksčiau, o ne vėliau. Bet ar reikia viską mesti ir pataisyti savo serverius šią akimirką? Nuomonės skiriasi.

SANS interneto audrų centras, kuris paprastai užima labai aktyvią pataisos poziciją, šiuo statymu apsidraudžia. SANS MS14-066 įrašytas kaip „kritinis“, o ne į baisesnį „Patch Now“. Dr. Johannesas Ullrichas sako:

Spėju, kad tikriausiai turite savaitę, o gal mažiau, pataisyti savo sistemas, kol bus išleistas išnaudojimas. Jūs turite gerą savo sistemų aprašą? Tada jūs esate geros formos, kad padarytumėte šį darbą. Likusi dalis (didžioji dauguma?): Pataisydami taip pat išsiaiškinkite kovos priemones ir alternatyvias skubios pagalbos konfigūracijas.

Labiausiai tikėtinos yra SSL paslaugos, kurias galima pasiekti iš išorės: žiniatinklio ir pašto serveriai būtų mano sąrašo viršuje. Tačiau nepakenks patikrinti paskutinio išorinio jūsų infrastruktūros patikrinimo ataskaitos, kad sužinotumėte, ar turite ką nors kito. Tikriausiai yra gera mintis pakartoti šį nuskaitymą, jei jo neplanavote reguliariai.

Kitas pereikite prie vidinių serverių. Juos pasiekti yra šiek tiek sunkiau, tačiau atminkite, kad norint juos apžiūrėti reikia tik vienos vidinės užkrėstos darbo vietos.

Trečia: keliaujantys nešiojamieji kompiuteriai ir panašūs daiktai palieka jūsų perimetrą. Jie jau turėtų būti užrakinti ir vargu ar klausys atvykstančių SSL ryšių, tačiau negali pakenkti dar kartą. Keletas keistų SSL VPN? Gal kokia tiesioginių pranešimų programinė įranga? Greitas uosto nuskaitymas turėtų jums pasakyti daugiau.

Aplink kanalą jau formuojasi šlakelis miesto mitologijos. Spaudoje galite perskaityti, kad „Schannel“ saugumo skylė egzistuoja jau 19 metų. Netiesa - kanalo klaida yra identifikuojama kaip CVE-2014-6321, ir ją atrado nenustatyti tyrėjai (galbūt „Microsoft“ vidiniai). Tai yra skylė programinėje įrangoje, skirtoje HTTPS ryšiams.

19 metų senumo pažeidžiamumas, kurį atrado „IBM X-Force“ tyrimų grupė, yra CVE-2014-6332. Tai COM skylė, kurią galima išnaudoti per VBScript. Tai yra klaida, kurią pašalino MS14-064 / KB 3011443. Kaip geriausiai galiu pasakyti, šios dvi saugumo spragos neturi nieko bendro.

Nepainiok. BBC sumaišė dvi saugumo spragas, o kiti naujienų pranešimai skelbia pranešimą.

Kalbant apie staigų mėnesinės internetinės transliacijos išnykimą - oficialaus pranešimo nebuvo, tačiau Dustinas Childsas, kuris anksčiau vykdė internetines transliacijas, buvo paskirtas iš naujo ir aš negalėjau rasti lapkričio mėnesio saugumo biuletenių internetinės transliacijos. Anksčiau šį rytą Childsas tweeted:

14 biuletenių vietoj 16 - jie net nepersenumeravo. Nėra diegimo prioriteto. Nėra apžvalgos vaizdo įrašo. Nėra internetinės transliacijos. Spėju, kad viskas keičiasi.

Tai stulbinantis įvykis, ypač tiems, kurie turi suprasti „Microsoft“ pataisų ypatumus. Nepavykus numeruoti biuletenių, niekas nepajudins tikėjimo „Microsoft“ pataisos režimu - tai vertinu kaip sveikintiną pokytį. Bet jei nėra mėnesinio saugos biuletenio diegimo prioritetų sąrašo, apžvalgos vaizdo įrašo ar internetinės transliacijos, dauguma „Windows“ saugumo profesionalų lieka nemalonūs. „Microsoft“ daugelį metų išleido apžvalginį vaizdo įrašą „Juodajam antradieniui“, o internetinė transliacija siūlo daugybę niekingų ir nešvarių patarimų, kurių nėra niekur kitur.

Jei žiniatinklio transliacijos buvo ištrauktos - nėra jokio oficialaus patvirtinimo, kurį galėčiau pamatyti, ypač „Microsoft“ įmonės klientai turi rimtų priežasčių skųstis.