Video: Microsoft Fail (Desember 2024)
Microsoft merilis tujuh buletin yang memperbaiki 34 bug unik di.NET Framework, kernel Windows, dan Internet Explorer sebagai bagian dari Patch Tuesday milik July. Ada juga kebijakan 180 hari baru untuk pasar Microsoft mengenai aplikasi dengan bug keamanan.
Dari tujuh buletin, enam dinilai kritis, dan satu dinilai penting, Microsoft mengatakan dalam penasihatnya Patch Tuesday yang dirilis kemarin sore. Microsoft merekomendasikan untuk menginstal buletin IE (MS13-055) terlebih dahulu, diikuti oleh salah satu buletin untuk driver mode kernel Windows (MS13-053). Buletin TrueType dan Windows yang tersisa ada di kelompok prioritas berikutnya, diikuti oleh satu-satunya tambalan "penting".
"Semua yang ada di dunia inti Microsoft dipengaruhi oleh satu atau lebih dari ini; setiap OS yang didukung, setiap versi MS Office, Lync, Silverlight, Visual Studio dan.NET, " kata Ross Barrett, manajer senior teknik keamanan di Rapid7.
Windows 8.1 Preview dan IE 11 tidak terpengaruh oleh buletin ini.
Jelek, Jelek Font
Tiga buletin terpisah (MS13-052, MS13-053, dan MS13-054) memperbaiki kerentanan font TrueType di.NET. Bug font TrueType ini mirip dengan yang dieksploitasi oleh Stuxnet dan Duqu, kecuali fakta bahwa ia hadir di.NET dan bukan di kernel Windows, kata Marc Maiffret, CTO dari BeyondTrust.
MS13-054 memperbaiki kerentanan TrueType di GDI +, komponen di kernel Windows. Kelemahan ini mempengaruhi banyak produk, termasuk setiap versi Windows, Office 2003/2007/2010, Visual Studio.NET 2003, dan Lync 2010/2013 yang didukung. Maiffret memperkirakan bahwa cacat ini akan dieksploitasi oleh penyerang dalam waktu dekat karena begitu banyak produk menggunakan GDI +.
"MS13-053 adalah yang terburuk dari grup, " kata Tommy Chin, seorang insinyur dukungan teknis di CORE Security, menambahkan "Ini adalah eksekusi kode jarak jauh dan eskalasi hak istimewa semuanya menjadi satu." Penyerang dapat merekayasa sosial korban potensial untuk melihat file buatan dengan konten TrueType yang berbahaya. Jika berhasil, penyerang mendapatkan akses administrator ke sistem yang terpengaruh, kata Chin.
Kerentanan nol hari di kernel Windows yang ditemukan oleh peneliti keamanan Tavis Ormandy juga diperbaiki dalam buletin ini. Mengingat eksploitasi untuk kerentanan ini sudah termasuk dalam kerangka kerja publik seperti Metasploit, ini harus menjadi prioritas tinggi
Internet Explorer
Pembaruan besar-besaran Internet Explorer membahas 17 kelemahan, 16 di antaranya adalah kerentanan kerusakan memori dan satu bug scripting lintas-situs. Cacat korupsi memori dapat digunakan dalam serangan drive-by di mana penyerang mengatur halaman web berbahaya dan menggunakan taktik rekayasa sosial untuk menarik pengguna ke halaman berbahaya. Ada banyak bug kerusakan memori di Internet Explorer selama beberapa Patch Patch terakhir, Maiffret mencatat, menambahkan, "Sangat penting bahwa patch ini akan diluncurkan secepat mungkin."
Perubahan Kebijakan Microsoft Marketplace
Microsoft juga mengumumkan perubahan kebijakan terkait pasar Microsoft. Di bawah kebijakan baru, aplikasi apa pun di salah satu dari empat toko aplikasi yang dijalankan oleh Microsoft (Windows Store, Windows Phone Store, Office Store, dan Azure Marketplace) akan diberikan 180 hari untuk menyelesaikan masalah keamanan. Garis waktu berlaku untuk kerentanan yang dinilai kritis atau penting, dan tidak sedang diserang.
Jika tidak ditambal dalam jangka waktu itu, aplikasi akan dihapus dari toko, kata Microsoft. Kebijakan ini berlaku untuk aplikasi dari pengembang pihak ketiga maupun Microsoft.
"Microsoft mengambil langkah besar untuk meminimalkan aplikasi yang rentan di berbagai toko aplikasi mereka, " kata Craig Young, seorang peneliti keamanan dengan Tripwire.
Namun, perlu dicatat bahwa 180 hari adalah waktu yang lama, membuatnya sangat tidak mungkin bahwa Microsoft akan pernah berakhir menarik aplikasi. Pengembang tidak akan menghabiskan lebih dari enam bulan untuk memperbaiki kerentanan kritis, dan jika pembaruan itu memakan waktu lebih lama dari yang diharapkan, Microsoft bersedia membuat pengecualian.
Mempertimbangkan itu, kebijakan baru itu kedengarannya seperti cara bagi Microsoft untuk terdengar tangguh tanpa mempengaruhi pengembang.
Lebih Jauh
Ini akan menjadi bulan yang sibuk bagi administrator. Adobe merilis pembaruannya sendiri, dan Oracle akan merilis pembaruan triwulanan semua perangkat lunak mereka kecuali Jawa minggu depan.