Как обновить Windows 10 до версии 20h2 через Центр Обновления и откатить его
La o zi după ce un cercetător de securitate a publicat un cod de atac pentru un defect al software-ului de server IIS, Microsoft a declarat că intenționează să corecteze problema. problema și detalierea unor soluții tehnice pe care administratorii de sistem le pot implementa în timp ce așteaptă un patch. "În prezent investigăm problema … și lucrăm la dezvoltarea unei actualizări de securitate", a declarat Microsoft într-o notă de pe site-ul său Web. "Această actualizare va fi lansată odată ce va atinge un nivel adecvat de calitate pentru o distribuție largă."
Următorul set de patch-uri de securitate Microsoft se datorează pe 8 septembrie. Nu este clar dacă compania va putea dezvolta și testa IIS Internet Information Services)
Codul de atac a fost publicat luni de Nikolaos Rangos, care a spus că nu a anunțat software-ul compania emisiunii înainte de timp. Rangos este considerat a fi foarte fiabil în sistemele IIS 5 și ar putea fi folosit pentru a rula software-ul neautorizat pe server.Defecțiunea constă în software-ul FTP (File Transfer Protocol) folosit de IIS și este considerat a fi critic pentru utilizatorii produsului IIS 5 mai vechi. Utilizatorii IIS 6 sunt, de asemenea, afectați, dar aceștia se confruntă cu un risc redus din cauza compilării IIS 6, a afirmat Microsoft în consultanță. "Acest lucru nu elimină vulnerabilitatea, dar face dificilă exploatarea vulnerabilității."
Utilizatorii care utilizează cele mai recente servicii IIS 7 sau care nu rulează serviciul FTP nu sunt afectați, a spus Microsoft. pentru utilizatorii IIS 5 și 6, există un alt factor atenuant: "Sistemele afectate nu sunt vulnerabile dacă nu li se acordă accesul la scriere pentru utilizatorii FTP care nu au încredere în drepturi." În mod implicit, utilizatorilor FTP nu li se permite accesul la scriere, "Microsoft a spus. atacurile din lumea reală folosind codul lui Rangos, vânzătorul de securitate Symantec a declarat marți că "multe sisteme vor fi vulnerabile pe internet și vor apărea atacuri în sălbăticie."
O altă companie de securitate, Secunia, evaluează defectul "moderat critic. "
În luna mai, compania de analiză Web Netcraft a numărat 2,8 milioane de site-uri care utilizează în continuare software-ul IIS 5, dar nu este clar cât de mulți dintre ei ar avea configurația FTP care ar face vulnerabili la acest atac.
Patch-urile care vor fi lansate pe așa-numitul Patch Tuesday includ remedii pentru o vulnerabilitate care permite execuția codului la distanță în Windows Media Player 11 pe diferite sisteme de operare Microsoft și pentru o vulnerabilitate care permite executarea codului la distanță în diferite versiuni a sistemului de operare Windows și a produselor conexe, inclusiv 2003 Server, Vista, XP, Office, .Net Framework, Works, Visual Studio, Visual FoxPro și alte programe.
Celelalte două patch-uri vor adresa execuția codului la distanță în Windows Media Encoder 9 și în Office OneNote 2007.
Patch-urile au fost lansate marți, în aceeași zi cu actualizarea de securitate lunară a Microsoft, făcând pentru o zi agitată de patch-uri pentru unii administratori de sistem. Microsoft a patch-uri pe un record de 31 de bug-uri, inclusiv defectele critice în Windows, Office și Internet Explorer.
Software-ul Adobe a fost din ce în ce mai vizat de atacatori care au găsit modalități de a utiliza erori în cod pentru a instala programe rău intenționate pe computere. Ei fac acest lucru trăgând o victimă în deschiderea unui fișier .pdf codificat malicios. "Aceste vulnerabilități ar cauza ca aplicația să se prăbușească și ar putea permite unui atacator să preia controlul asupra sistemului afectat", a declarat Adobe în consiliul său de securitate marți.
După lansarea codului, Adobe Illustrator Fix Due 8 ianuarie
Adobe declară că va afecta un defect de zero zile în software-ul Illustrator până la 8 ianuarie.