מיקרוסופט: טלאים ל-22 פרצות בעדכון האבטחה החודשי
חמש מבין הפרצות שתוקנו מוגדרות על ידי מיקרוסופט כ-"קריטיות", והחברה ממליצה לתקנן בהקדם האפשרי ● גם החברות אדובי ואורקל עומדות לשחרר שורה ארוכה של טלאי אבטחה
מיקרוסופט (Microsoft) שחררה אתמול (ג') 12 עלוני אבטחה (Security bulletins) לתיקון 22 פרצות, במסגרת עדכון האבטחה החודשי. חמש מבין הפרצות שתוקנו מוגדרות על ידי מיקרוסופט כ-"קריטיות", והחברה ממליצה לתקנן בהקדם האפשרי. פרצות אלה נתגלו בדפדפן אינטרנט אקספלורר (אינטרנט אקספלורר), חבילת אופיס (Office) ומערכת ההפעלה חלונות.
בין השאר תוקנו שלוש פרצות שכבר מנוצלות בפועל לביצוע מתקפות – בסגנונות CSS בדפדפן אינטרנט אקספלורר, בתמונות ממוזערות במערכת ההפעלה חלונות ובתקשורת FTP בשרת IIS. עם זאת, מנתוני פרויקט Zero Day Initiative של HP ו-TippingPoint עולה כי קיימות חמש פרצות נוספות במוצרי מיקרוסופט שמנוצלות בפועל לביצוע מתקפות, ועדיין לא תוקנו: ארבע פרצות בגיליון האלקטרוני אקסל ואחת בתוכנת המצגות פאוור-פוינט.
ג'ושוע טלבו, מנהל מידע אבטחה בצוות התגובה של סימנטק (Symantec), מזהיר כי עברייני הרשת עלולים לפצח את הטלאי ששחררה מיקרוסופט לפרצת CSS בדפדפן אינטרנט אקספלורר, ואם אכן כך יהיה הוא צופה כי הניסיונות לנצל את הפרצה שנתגלתה יימשכו.
גם חברת אדובי (Adobe) עתידה לשחרר בימים הקרובים עדכון אבטחה, בעוד שאורקל (Oracle) צפויה לשחרר את עדכון האבטחה הרבעוני בהמשך חודש פברואר. אנשי פרויקט Zero Day Initiative פרסמו ביום ב' מידע על 21 פרצות במוצרים של חברות שונות, ובהן מיקרוסופט. "המידע על פרצות אלה פורסם עוד לפני ששוחררו טלאים משום שהמידע על פרצות אלה עמד לרשות החברות למעלה מ- 180 ימים, ובהתאם למדיניות במקרה כזה מפורסם המידע לציבור הרחב" הסביר וולפגנג קנדק, מנהל הטכנולוגיה הראשי של חברת Qualys.
פעמים רבות נמתחה כבר ביקורת על מיקרוסופט בשל הקצב האיטי שבו משחררת החברה עדכוני אבטחה. בקיץ האחרון כתבו חוקרים של חברת גוגל (Google), בהודעה שפרסמו בבלוג, כי "ניכרת עלייה במגמה של ניצול מדיניות 'הפרסום האחראי' על ידי חברות שדוחות בלי סוף תיקון של פרצות – לעתים במשך שנים. בפרק זמן זה מתגלות הפרצות על ידי גורמים עוינים שמשתמשים בדיוק באותם כלים ושיטות כמו החוקרים ששומרים על כללי האתיקה".
עם זאת, במיקרוסופט טוענים כי יש להוסיף ולנהוג בצורה שהחברה מגדירה כ- 'אחראית', וכי הגישה של גוגל מגבירה את הסיכונים.
מלבד הטלאים שנכללים בעדכון האבטחה החודשי, שחררה מיקרוסופט גם עדכון שמגביל את הנגינה האוטומטית של תקליטורי CD ו-DVD, על מנת לצמצם סיכונים שנובעים מהפעלה אוטומטית.
תגובות
(0)