Οι μηνιαίες ενημερώσεις ασφαλείας της Microsoft – γνωστές και σαν Patch Tuesday – κυκλοφόρησαν με διορθώσεις σε 62 κενά ασφαλείας. Ανάμεσα σε αυτά υπάρχει (επιτέλους) και η επιδιόρθωση του 0day που κυκλοφόρησε μέσω του Twitter τον περασμένο μήνα.
Οι ενημερώσεις ασφαλείας που κυκλοφόρησαν για αυτό το μήνα αφορούν πάρα πολλά προϊόντα της Microsoft: Windows, Microsoft Edge, Internet Explorer, ASP.NET, .NET Framework, ChakraCore Edge, Adobe Flash Player, Microsoft.Data.OData, Microsoft Office διάφορες υπηρεσίες Microsoft Office και Web εφαρμογές.
Από όλες τις 62 επιδιορθώσεις, η πιο σημαντική είναι η CVE-2018-8440. Το κενό ασφαλείας επιτρέπει σε κακόβουλο λογισμικό ή κάποιο εισβολέα που υπάρχει ήδη σε ένα σύστημα να αποκτήσει πρόσβαση σε επίπεδο συστήματος εκμεταλλευόμενος ένα ελάττωμα στη λειτουργία Advanced Local Call Call (ALPC) του Windows Task Scheduler.
Λεπτομέρειες για αυτήν την ευπάθεια, δημοσιεύθηκαν στα τέλη Αυγούστου στο Twitter και χρησιμοποιήθηκε σχεδόν άμεσα σε μια ενεργή καμπάνια διανομής κακόβουλου λογισμικού από μια εγκληματική ομάδα που είναι γνωστή σαν PowerPool.
Όσον αφορά τις άλλες σοβαρές ευπάθειες που επιδιορθώνονται αλλά δεν χρησιμοποιούνται ακόμα σε επιθέσεις, σύμφωνα με την Microsoft. Οι τρεις είναι:
CVE-2018-8409 – System.IO.Pipelines Denial of Service
CVE-2018-8457 – Ευπάθεια διαγραφής της μνήμης του Scripting Engine
CVE-2018-8475 – Ένα θέμα για απομακρυσμένη εκτέλεση κώδικα στα Windows
Από αυτές τις τρεις, η πρώτη χαρακτηρίζεται σαν “Σημαντική”, ενώ η δεύτερη και η τρίτη σαν “Κρίσιμες.” Από όλες τις 62 ευπάθειες που επιδιορθώνονται αυτό το μήνα, οι 17 χαρακτηρίζονται σαν “Κρίσιμες”.
Πέρα από τα ελάττωμα στα προϊόντα της, η Microsoft κυκλοφόρησε και επιδιορθώσεις για τον μεγάλο ασθενή Adobe Flash Player.
Οι ενημερώσεις του Flash Player (ADV180023), συμπεριλαμβάνονται επίσης στο Patch Tuesday του Σεπτεμβρίου του 2018. Αυτό το μήνα, η Adobe κυκλοφόρησε μια επιδιόρθωση για ένα μόνο κενό ασφαλείας του Flash Player, (CVE-2018-15967).
_________________________
- Cloud: Google Drive, Dropbox ή OneDrive. Ποιο το καλύτερο;
- Apple: Το μέλλον της εταιρείας κοιτάζοντας τον καφέ της Siri
- Google: η εταιρεία μας παρακολουθεί και offline
- Facebook: καλύτερα να ζητάς συγνώμη από την άδεια