Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Maart 2020-patch dinsdag: Microsoft lost 115 kwetsbaarheden op, Adobe geen

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 722

Het is maart 2020 Patch Tuesday en Microsoft is gedaald Oplossingen voor 115 CVE-genummerde gebreken: 26 zijn kritiek, 88 belangrijk en een middelmatig ernstig. Het goede nieuws is dat geen van hen onder actieve aanvallen staat.

Maart 2020-patch dinsdag

Voorlopig lijkt Adobe deze patch dinsdag over te slaan en er is geen indicatie of de gebruikelijke beveiligingsupdates gewoon vertraagd zijn of er de komende dagen helemaal niet zullen zijn.

Microsoft-patches

Vorige maand, Microsoft aangesloten 99 veiligheidsgaten in verschillende van zijn producten. Onverwachts is het aantal deze maand nog hoger.

De 26 kritieke fouten maken allemaal externe uitvoering van code mogelijk, maar sommige worden gemakkelijker uitgebuit dan andere.

Bijvoorbeeld CVE-2020-0852 beïnvloedt Microsoft Word en exploitatie kan worden bereikt zonder dat het doel een speciaal vervaardigd bestand hoeft te openen dat het zou activeren.

"In plaats daarvan zou het bekijken van een speciaal vervaardigd bestand in het voorbeeldvenster code kunnen uitvoeren op het niveau van de aangemelde gebruiker," bekend Dustin Childs van het Zero Day Initiative van Trend Micro, en wees erop dat het hebben van een bug waarbij iemand niet hoeft te worden verleid om een ​​bestand te openen, verleidelijk moet zijn voor malware- en ransomware-auteurs.

Ook bevestigde het bedrijf opnieuw een nieuwe RCE (CVE-2020-0684) die kan worden veroorzaakt door een kwetsbaar doelsysteemproces, een speciaal vervaardigd .LNK-bestand.

CVE-2020-0872 is een RCE die van invloed is Microsoft-toepassingsinspecteur (versie v1.0.23 of eerder), de onlangs uitgebrachte broncode-analysator die handig is voor het controleren van open source-componenten op ongewenste of risicovolle functies.

"Om het beveiligingslek te misbruiken, moet een aanvaller een gebruiker overtuigen om Application Inspector uit te voeren op broncode die een schadelijke component van derden bevat," legde Microsoft uit.

"Hoewel Microsoft dit niet vermeldt als zijnde algemeen bekend op het moment van uitgave, lijkt het erop dat dit is opgelost in versie 1.0.24, die in januari werd uitgebracht," merkte Childs op. "Het is niet duidelijk waarom het wordt opgenomen in de patch-release van deze maand, maar als je Application Inspector gebruikt, pak dan zeker de nieuwe versie."

CVE-2020-0905 is een RCE die de Dynamics Business Central-client beïnvloedt en waarmee aanvallers willekeurige shell-opdrachten op een doelsysteem kunnen uitvoeren.

"Hoewel dit beveiligingslek wordt bestempeld als 'Exploitatie minder waarschijnlijk', aangezien het doel waarschijnlijk een kritieke server is, moet dit voorrang krijgen op alle Windows-servers en werkstations," aangedrongen Animesh Jain, Product Manager of Signatures voor Kwetsbaarheden bij Qualys.

Childs is van dezelfde mening. "Het uitbuiten van deze kritisch beoordeelde bug zal niet eenvoudig zijn, aangezien een geverifieerde aanvaller het doelwit zou moeten overtuigen om verbinding te maken met een kwaadaardige Dynamics Business Central-client of de machtiging aan het systeem om de code uit te voeren moet verhogen. Maar aangezien het doel waarschijnlijk een missiekritieke server is, moet je deze patch snel testen en implementeren ”, voegde hij eraan toe.

Er moet ook op worden gewezen dat er in deze batch fixes er een is voor een spoofing-kwetsbaarheid in Microsoft Exchange Server, maar deze fout is minder ernstig dan CVE-2020-0688, een oplossing die in februari werd uitgebracht, maar nog steeds is actief worden uitgebuit in het wild. Beheerders wordt aangeraden dat beveiligingslek zo snel mogelijk te dichten (als ze dat nog niet hebben gedaan).

Mozilla werkt Firefox bij

Adobe heeft mogelijk geen beveiligingsupdates uitgebracht op deze patch-patch van maart 2020, maar Mozilla heeft uitgebracht Firefox 74, met TLS 1.0 en TLS 1.1 standaard uitgeschakeld, strengere regels voor add-ons, een tool om te voorkomen dat Facebook gebruikers op internet volgt, en verschillende functies voor ontwikkelaars.

Er zijn geen kritieke fouten opgelost in deze editie van de populaire browser en Firefox ESR68.6 (ook vandaag vrijgegeven).

Richard Melick, Sr. technisch productmanager, Automox, wees erop dat hoewel geen van de Firefox-gebreken die deze keer zijn gepatcht, actief worden geëxploiteerd, de tijd tot bewapening gemiddeld 7 dagen is, dus gebruikers / beheerders moeten zo snel mogelijk upgraden.

"Impact op de iPhone, CVE-2020-6812 viel op als een kwetsbaarheid waardoor een website met camera- of microfoontoegang informatie over de gebruiker kon verzamelen via de aangesloten AirPods. Hoewel deze informatie niet de meest kritieke is, kan ze worden verzameld en kan hij tegenstanders helpen een gebruiker te volgen en verder persoonlijk identificeerbare informatie te verzamelen als deze niet wordt gepatcht. In wezen kan iemand anders dat ook zijn als je meeluistert, 'voegde hij eraan toe.

Bron: https://www.helpnetsecurity.com/2020/03/10/march-2020-patch-tuesday/

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.