מיקרוסופט פרסם היום עדכונים לסתום כמעט 100 חורי אבטחה בגרסאות שונות שלו Windows מערכת הפעלה ותוכנות קשורות, כולל פגיעות של יום אפס ב אינטרנט אקספלורר (IE) שמנוצל באופן פעיל. גַם, Adobe הוציאה שורה של עדכוני אבטחה עבור מוצריה השונים, כולל נגן פלאש ו Adobe Reader/Acrobat.
תריסר מהחולשות שמיקרוסופט תיקנה היום מדורגות כ"קריטיות", כלומר תוכנות זדוניות או מטעים עלולים לנצל אותן מרחוק כדי להשיג שליטה מלאה על מערכת מושפעת ללא עזרה קטנה או ללא עזרה מהמשתמש.
בחודש שעבר, מיקרוסופט פרסמה אזהרה מייעצת לפיה התוקפים מנצלים פגם שלא ידוע בעבר ב-IE. הפגיעות הזו, שהוקצתה כ CVE-2020-0674, תוקן עם השחרור של החודש. זה יכול לשמש להתקנת תוכנות זדוניות רק על ידי לגרום למשתמש לגלוש לאתר אינטרנט זדוני או פרוץ.
מיקרוסופט שוב תיקנה פגם קריטי באופן שבו Windows מטפל בקבצי קיצורי דרך (.lnk) (CVE-2020-0729) שמשפיע Windows 8 ו 10 מערכות, כמו גם Windows Server 2008-2012. אלן ליסקה, אנליסט מודיעין ב עתיד מוקלט, אומרת שמיקרוסופט רואה ניצול של הפגיעות לא סביר, אבל פגיעות דומה שהתגלתה בשנה שעברה, CVE-2019-1280, נוצל באופן פעיל על ידי ה אסטרות טרויאני לאחרונה כמו ספטמבר.
פגם נוסף תוקן החודש ב Microsoft Exchange 2010 דרך 2019 עשוי לזכות לתשומת לב מיוחדת. הבאג יכול לאפשר לתוקפים לנצל את שרת Exchange ולהפעיל קוד שרירותי רק על ידי שליחת אימייל בעל מבנה מיוחד. פגיעות זו (CVE-2020-0688) מדורגת כ"חשובה" ולא "קריטית", אבל ליסקה אומרת שזה נראה מסוכן, מכיוון שמיקרוסופט מזהה זאת כנקודת תורפה שסביר להניח שתנוצל.
בנוסף, רדמונד התייחס לנושא קריטי (CVE-2020-0618) בדרך Microsoft SQL Server גרסאות 2012-2016 מטפלות בבקשות דפים.
לאחר הפוגה של מספר חודשים בתיקונים עבור הפלאגין לדפדפן Flash Player שלה, Adobe שוב בירכה אותנו בעדכון אבטחה עבור תוכנית זו (תיקונים פגם קריטי אחד). למרבה המזל, Chrome ו Firefox שניהם משביתים כעת את Flash כברירת מחדל, וכרום ו IE/Edgעדכן אוטומטית את התוכנית כאשר עדכוני אבטחה חדשים זמינים. Adobe אמורה להפסיק את Flash Player מאוחר יותר השנה.
מוצרים אחרים של Adobe שעבורם החברה שלחה עדכונים היום כוללים מנהל ניסיון, מהדורות דיגיטליות, יוצר מסגרות ו אקרובט רידר (אין פגמים). מומחי אבטחה ב קוואליס שימו לב שב-28 בינואר, גם Adobe הנפיקה תיקון מחוץ לפס ל מג'נטו, מסומן כעדיפות 2.
"למרות שאף אחת מהפגיעויות שנחשפו במהדורה של אדובי לא ידועה כמותקפת אקטיבית היום, יש לתעדף את כל התיקונים במערכות עם מוצרים אלה מותקנים", אמר Qualys's ג'ימי גרהאם.
משתמשי Windows 7 צריכים להיות מודעים כעת לכך שבעוד שמספר לא מבוטל של פגמים שטופלו החודש על ידי מיקרוסופט משפיעים על מערכות Windows 7, מערכת הפעלה זו אינה נתמכת עוד עם עדכוני אבטחה (אלא אם אתה ארגון המנצל את היתרונות של מיקרוסופט תוכנית עדכוני אבטחה מורחבים בתשלום, הזמין למשתמשי Windows 7 Professional ו-Windows 7 Enterprise).
אם אתה מסתמך על Windows 7 לשימוש יומיומי, כנראה שהגיע הזמן לחשוב על שדרוג למשהו חדש יותר. זה יכול להיות מחשב עם Windows 10. או אולי תמיד רצית את מחשב ה-MacOS הנוצץ הזה.
אם העלות היא המניע העיקרי והמשתמש שאתה חושב לא עושה הרבה עם המערכת מלבד גלישה באינטרנט, אולי Chromebook או מכונה ישנה יותר עם גרסה עדכנית של לינוקס היא התשובה (אובונטו עשויה להיות הקלה ביותר עבור ילידים שאינם בלינוקס). לא משנה באיזו מערכת תבחר, חשוב לבחור אחת שמתאימה לצרכי הבעלים ומספקת עדכוני אבטחה על בסיס שוטף.
זכור שבעוד להישאר מעודכן בתיקוני Windows הוא חובה, חשוב לוודא שאתה מעדכן רק לאחר שגיבית את הנתונים והקבצים החשובים שלך. גיבוי אמין אומר שאתה לא מאבד את דעתך כאשר תיקון הבאגי המוזר גורם לבעיות באתחול המערכת.
אז עשה לעצמך טובה וגבה את הקבצים שלך לפני התקנת תיקונים כלשהם. לווינדוס 10 יש אפילו כמה כלים מובנים כדי לעזור לך לעשות זאת, על בסיס כל קובץ / תיקיה או על ידי יצירת עותק שלם וניתן לאתחל של הכונן הקשיח בבת אחת.
כמו תמיד, אם אתם חווים תקלות או בעיות בהתקנת כל אחד מהתיקונים הללו החודש, אנא שקול להשאיר הערה לגביו למטה; יש סיכוי טוב יותר שקוראים אחרים חוו את אותו הדבר ואולי יגיעו לכאן עם כמה עצות מועילות. כמו כן, שימו עין על הבלוג של AskWoody החל מ- וודי לאונהרד, שעוקב מקרוב אחר עדכוני מיקרוסופט באגים מדי חודש.
תגיות: אלן ליסקה, CVE-2019-1280, CVE-2020-0618, CVE-2020-0674, CVE-2020-0688, ג'ימי גרהאם, Microsoft Patch יום שלישי בפברואר 2020, קוואליס, עתיד מוקלט
מקור: https://krebsonsecurity.com/2020/02/microsoft-patch-tuesday-february-2020-edition/
