Video: Nov 24th 12.65 GB PATCH #Microsoft Flight Simulator 2020 | #FlightSimUpdate (Desember 2024)
Microsoft memberikan administrator istirahat dengan rilis Patch Tuesday yang relatif ringan pada bulan September. Perusahaan memperbaiki 42 bug di empat buletin yang mencakup Internet Explorer,.NET Framework, Windows Task Scheduler, dan Microsoft Lync.
Terapkan pembaruan Internet Explorer. Ini mungkin melindungi Anda dari serangan zero-day.
Chatty IE Bug Ditutup
Microsoft hanya memberi nilai satu pembaruan - tambalan kumulatif untuk Internet Explorer (MS14-052) -sebagai "kritis." Ini berarti Microsoft tahu bug sudah diserang atau mengharapkan penyerang untuk mengeksploitasi bug dalam 30 hari. Kelemahan ini juga dapat menyebabkan eksekusi kode jarak jauh.
Microsoft memperbaiki 37 kerentanan di IE, termasuk 26 kerentanan korupsi memori yang diungkapkan secara pribadi dari Internet Explorer 6 hingga Internet Explorer 11. Microsoft juga memperbaiki bug pengungkapan informasi yang telah digunakan dalam serangan zero-day yang terkait dengan Operasi SnowMan kampanye cyberespionage awal tahun ini.
Dalam kampanye itu, penyerang mengekspos bug pengungkapan informasi untuk mencari tahu apakah komputer yang dikompromikan sedang menjalankan Enhanced Mitigation Experience Toolkit (EMET) Microsoft dan perlindungan keamanan lainnya. EMET adalah toolkit gratis dari Microsoft dengan berbagai teknik mitigasi eksploitasi yang melindungi dari kerentanan korupsi memori umum. Perusahaan dapat menggunakan EMET untuk sementara bertahan dari serangan zero-day. Kerentanan (CVE-2013-7331) di IE "memungkinkan penyerang jarak jauh untuk menentukan keberadaan nama jalur lokal, nama jalur berbagi UNC, nama host intranet, dan alamat IP intranet dengan memeriksa kode kesalahan, " kata Amol Sarwate, direktur laboratorium kerentanan di Qualys. Jika alat ada, penyerang menghentikan serangan.
"Patch ini adalah upaya Microsoft untuk membatasi kemampuan kit eksploitasi yang telah diidentifikasi menggunakan teknik pengungkapan informasi untuk menentukan apakah perangkat lunak keamanan tertentu diinstal, " kata Craig Young, seorang peneliti keamanan dengan Tripwire.
Bug Penolakan Layanan, Ya ampun
Buletin yang tersisa untuk.NET, Windows Task Scheduler, dan Microsoft Lync, membahas berbagai bug penolakan layanan dan diberi peringkat "penting", atau tidak mungkin menghasilkan eksekusi kode jarak jauh. Bagi penyerang untuk mengeksploitasi kerentanan hak istimewa dalam Penjadwal Tugas (MS14-054), orang tersebut pertama-tama harus memiliki kredensial yang valid dan akses lokal ke sistem yang terpengaruh untuk menjalankan kode mereka. Masalahnya ada pada Windows 8, Windows 8.1, Windows RT dan Windows RT 8.1, serta Windows Server 2012 dan Windows Server 2012 R2. Pembaruan.NET framework (MS14-053) memengaruhi sebagian besar versi.NET serta instalasi ASP.NET yang diaktifkan di IIS. Bug penolakan layanan di Microsoft Lync Server 2010 dan Lync Server 2013 dapat memungkinkan penyerang mengirimkan permintaan SIP berbahaya ke server Lync.
"Jika Anda menjalankan ASP.NET atau mengirim permintaan pertemuan Lync ke pihak ketiga, maka pembaruan ini sangat penting untuk organisasi Anda, " kata Tyler Reguly, manajer riset keamanan untuk Tripwire. "Dalam beberapa kasus, mereka bahkan dapat dianggap kritis; penolakan layanan bukanlah sesuatu yang bisa dianggap enteng."
Lebih Banyak Tambalan di Jalan
Hanya karena siklus pembaruan bulan ini sedikit ringan, bukan berarti saatnya untuk berpuas diri. Adobe memperbarui Flash Player hari ini sebagai bagian dari siklus pembaruan rutinnya, tetapi tambalan tertunda mengatasi kerentanan kritis dalam Adobe Reader dan Acrobat untuk Windows dan OSX. Tambalan itu akan tersedia minggu depan, kata perusahaan itu. Tambalan ditunda karena masalah yang terlihat selama pengujian. Adobe tidak menguraikan lebih lanjut tentang kekurangan sebenarnya selain menyebutnya sebagai prioritas utama. Jadi, tetap waspada!