Video: Building Dynamic Web Apps with Laravel by Eric Ouyang (Oktober 2024)
Ini adalah trifecta tambalan perangkat lunak, dengan Microsoft, Adobe, dan Oracle semuanya merilis pembaruan keamanan pada hari yang sama.
Seperti yang diharapkan, Microsoft memulai 2014 dengan rilis Patch Tuesday yang cukup ringan, memperbaiki enam kerentanan yang tidak terlalu kritis di empat buletin keamanan. Pada hari yang sama, Adobe mengeluarkan dua pembaruan penting untuk memperbaiki tiga kesalahan eksekusi kode jarak jauh kritis di Adobe Reader, Acrobat, dan Flash. Keanehan penjadwalan berarti Pembaruan Patch Kritis triwulanan Oracle juga jatuh pada hari Selasa yang sama, menghasilkan sejumlah besar tambalan untuk ditangani oleh administrator TI. Oracle memperbaiki 144 kerentanan di 40 produk, termasuk Java, MySQL, VirtualBox, dan basis data Oracle andalannya.
"Sementara Microsoft hanya merilis empat pembaruan, ada banyak pekerjaan untuk administrator TI karena rilis oleh Adobe dan Oracle, " kata Wolfgang Kandek, CTO dari Qualys.
Patch Java dari Oracle harus menjadi prioritas tertinggi, diikuti oleh Adobe Reader dan Flash advisories, dan kemudian pembaruan Microsoft Word dan XP, kata para ahli.
Oracle Membawa Java
Bahkan dengan mempertimbangkan bahwa Oracle memperbaiki setiap triwulan dan memperbaiki lebih banyak produk, CPU ini masih merupakan pemecah rekor dalam sejumlah masalah yang diperbaiki. Dari 144 kelemahan keamanan, 82 dapat dianggap kritis karena dapat dieksploitasi dari jarak jauh tanpa otentikasi.
Mayoritas kerentanan yang dibahas dalam CPU raksasa Oracle ada di Java v7. Oracle memperbaiki 34 kelemahan eksekusi jarak jauh, dengan beberapa skor 10 pada skala Sistem Kerentanan yang Umum. CVSS menunjukkan keseriusan cacat dan kemungkinan penyerang mendapatkan kontrol total sistem.
Java adalah salah satu perangkat lunak yang paling banyak diserang pada 2013 dan para ahli memperingatkan akan terus menjadi sasaran populer. Jika Anda tidak menggunakannya, hapus instalannya. Jika Anda perlu menginstal Java, setidaknya nonaktifkan di browser Web, karena semua serangan sejauh ini telah menyerang browser. Jika Anda mengakses aplikasi Web yang membutuhkan Java, simpan di browser Web berbeda dari yang standar dan alihkan saat diperlukan. Jika Anda tidak membutuhkannya, jangan simpan. Jika Anda menyimpannya, segera tambal.
Oracle juga memperbaiki lima kelemahan keamanan dalam database Oracle-nya sendiri, salah satunya dapat dieksploitasi dari jarak jauh, dan 18 kerentanan di MySQL. Tiga dari bug itu dapat diserang dari jarak jauh dan memiliki skor CVSS maksimum 10. Perangkat lunak server Solaris memiliki 11 kekurangan, termasuk yang bisa diserang dari jarak jauh. Bug Solaris paling serius memiliki skor CVSS 7, 2. CPU menangani sembilan masalah dalam Oracle Virtualization Software, yang mencakup perangkat lunak virtualisasi VirtualBox, di mana empat dapat dipicu dari jarak jauh. Skor CVSS maksimum adalah 6.2.
Jika Anda menjalankan salah satu dari produk ini, penting untuk segera memperbaruinya. MySQL banyak digunakan sebagai sistem back-end untuk sejumlah CMS dan perangkat lunak forum yang populer, termasuk WordPress dan phpBB.
Pembaca dan Perbaikan Flash
Adobe memperbaiki masalah keamanan di Adobe Flash, Acrobat, dan Reader, yang jika dieksploitasi, akan memberikan penyerang kontrol total dari sistem target. Vektor serangan untuk bug Acrobat dan Reader adalah file PDF berbahaya. Cacat Flash dapat dieksploitasi dengan mengunjungi halaman Web berbahaya atau membuka dokumen dengan objek Flash yang disematkan.
Jika Anda mengaktifkan pembaruan latar belakang untuk produk Adobe, pembaruan tersebut harus mulus. Pengguna dengan Google Chrome dan Internet Explorer 10 dan 11 tidak perlu khawatir tentang versi baru Flash karena browser akan memperbarui perangkat lunak secara otomatis.
Light Microsoft Update
Microsoft memperbaiki kerentanan format file di Microsoft Word (MS14-001) yang dapat dieksploitasi dari jarak jauh jika pengguna membuka file Word yang terperangkap booby. Itu mempengaruhi semua versi Microsoft Word pada Windows, termasuk Office 2003, 2007, 2010, dan 2013, serta pemirsa dokumen Word. Pengguna Mac OS X tidak terpengaruh.
Kerentanan zero-day (CVE-2013-5065) yang mempengaruhi sistem Windows XP dan Server 2003 yang ditemukan di alam liar November lalu akhirnya telah ditambal (MS14-002). Meskipun cacat eskalasi hak istimewa dalam NDProxy tidak dapat dijalankan dari jarak jauh, itu harus menjadi prioritas tinggi karena dapat dikombinasikan dengan kerentanan lainnya. Serangan pada bulan November menggunakan dokumen PDF berbahaya untuk pertama kali memicu cacat pada Adobe Reader (yang ditambal Mei 2013 di APSB13-15) untuk mengakses bug kernel Windows. Microsoft memperbaiki kesalahan eskalasi hak istimewa yang serupa di Windows 7 dan Server 2008 (MS14-003).
"Jika Anda khawatir tentang 002 dan bukan 003, Anda kemungkinan akan mengalami beberapa masalah pada bulan April ketika dukungan berakhir untuk Windows XP, " kata Rapid7.
Pada mereka sendiri kerentanan ini mungkin tidak kritis, tetapi jika digabungkan mereka bisa menjadi jauh lebih serius, Trustwave memperingatkan. Jika kampanye yang menggunakan dokumen Office jahat mengeksekusi kode yang menargetkan bug elevasi privilege, "maka email phishing ke pengguna yang tidak menaruh curiga adalah semua yang diperlukan, " kata tim itu.
