ÜZerine odaklanıyor Monster Microsoft Patch Salı Windows, Explorer, Exchange üzerinde odaklanıyor

Microsoft'un en son aylık toplu iş paketlerinin yanı sıra, Windows ve Internet Explorer'ı da kapsamak üzere, hem Exchange Server 2007 hem de Exchange Server 2010 sürümlerinde yaygın olarak kullanılan Exchange Server'ı kapsar.

"Microsoft Bu ay bir canavar boyutunda bir yama yayınladı… başınızı döndürmek için yeterli, ”diye yazdı, güvenlik firması nCircle güvenlik operasyonları müdürü Andrew Storms'i bir e-postada yazdı.

Genel olarak, Microsoft 57 güvenlik açığını kapsayan 12 güvenlik güncellemesi yayınladı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Microsoft, 12 güncellemeden beşini kritik olarak etiketledi ve labelle d kalan önemli 7.

Microsoft Exchange dağıtımlarını denetleyen sistem yöneticileri, Microsoft'un en son güvenlik düzeltme eklerini yakından incelemelidir.

İlk önce IE'yi yama

NCircle, kuruluşların ilk iki kritik Internet Explorer düzeltme ekini uygulamalarını önerir.. Storms, "Bu uzaktan yürütme hatalarının her ikisi de ciddi güvenlik riskleridir, bu yüzden hepsine yama uygulayın ve hızlı bir şekilde yamalar." İki kritik yamalar tarayıcıların 6'dan 10'a kadar olan sürümlerini kapsamaktadır.

"Her iki bülten, 'yalnızca bir kurbanın bir web sitesine göz atmak için kötü amaçlı kodlara bulaşmasını gerektiren' sürücü hataları 'düzeltmesi yapmıştır,” diye yazdı Storms. Güvenlik Bülteni MS13-010, Internet Explorer'ın, Uzaktan Kod Yürütülmesine izin verebilecek Vektör İşaretleme Dili (VML) uygulamasındaki bir güvenlik açığını açıklar. Bu güvenlik açığından bir saldırıda daha önce kullanıldı ve Microsoft'a göre önümüzdeki 30 gün içinde daha fazla saldırı bekleniyor.

Internet Explorer'a da yöneltilen MS13-009, bir güncellemede bir araya getirilen 13 farklı güvenlik açığını açıklıyor tarayıcının kod tabanının üst üste gelen bölümlerinde bulunur. Microsoft, bu güvenlik açıklarının önümüzdeki 30 gün içinde de kullanılmasını beklemektedir.

NCircle ayrıca, Explorer'ın eklenmesine ek olarak, yöneticilerin Adobe'nin Salı günü Flash için yayınladığı ya da kullanılıyorsa Shockwave uygulamasının yamaları gerektiğini bildirmiştir.

" Mutlak minimum değeri yapmak için zamanınız varsa, Internet Explorer ve Flash'ı hemen yamaları gerekir, "Storms yazdı.

Windows güncelleştirmeleri

Windows'un iki önemli güncelleştirmesi var. Windows XP, Windows Server 2003, Windows Vista ve Windows Server 2008 için, MS13-011, Windows Media Player'daki bir medya dosyasına katıştırılmış kodun, dosya yazılım tarafından açıldığında kaldırılmasına izin veren kritik bir güvenlik açığını giderir. Ve Windows XP SP3 için, MS13-020 ayrıca, Microsoft Word veya Wordpad, bir RTF (Zengin Metin Biçimi Belgesi) içinde gizlice biriyle kullanıcı açılacaksa, uzaktan kod yürütülmesine neden olabilecek bir güvenlik açığını açıklar. katıştırılmış ActiveX denetimi.

Microsoft Exchange güncelleştirmesi

Microsoft Exchange, beşinci kritik güncelleştirmenin odak noktasıdır.

Windows ve Explorer her ay hemen hemen güncellenirken, bir Exchange güvenlik açığının görünümü biraz daha azdır. Microsoft bülteni MS13-012, Exchange güvenlik açığını açıklar. Saldırganlar, bir Outlook Web Access kullanıcısını kötü amaçlı hazırlanmış bir eke tıklatarak Microsoft Exchange'in dağıtımını tehlikeye atabilir. Bu güvenlik açığı aslında Oracle tarafından sağlanan ve dışardan tarayıcıda görüntülenebilmesi için dosyaları çeşitli biçimlerde dönüştüren Oracle Outside In adlı kitaplıktan kaynaklanıyor. Ekte tıklamak, sunucu üzerinde yürütmek için gömülü kodu tetikleyebilir.

Yedi "önemli" güncellemeden ikisi Windows Sunucular içindir, biri Windows masaüstü sürümleri içindir ve ikisi de Windows veya masaüstü sürümleri içindir. Önemli bir güncelleştirme.Net çerçevesi içindir ve bir tanesi de SharePoint'in Hızlı Arama sunucusu kısmı içindir.

NCircle, VMware ESXi hipervizörünün kullanıcıları, Windows Server 2008 R2 ve Windows Server 2012 altında çalışan NFS (Ağ Dosya Sunucusu) işlemlerinin hizmet reddi saldırısına karşı nasıl savunmasız olabileceğini açıklayan MS13-014'ü yakından izlemeye yönlendirmiştir.

Microsoft, güvenlik soruşturması ve geliştirmesi için nCircle teknik yöneticisi olan Tyler Reguly'i yazdı. Her ayın ikinci Salı günü yazılımı. Salı gününün sık sık öngörüldüğü şekilde tahmin edilebilirliği, yöneticilerin sistemlerini güncellemek için zaman ayırmasını sağlar. Kritik BT sistemlerinde yapılan güncellemelerde olduğu gibi, yöneticiler, donanım veya diğer yazılımlarla beklenmeyen etkileşimleri kontrol etmek için güncellemeleri bir test ortamında uygulama konusunda teşvik edilir. Bu ayın toplu işindeki tüm güncelleştirmeler sistemin yeniden başlatılmasını gerektirebilir.

Güvenlik güncelleştirmeleri Microsoft Yükleme Merkezi'nde WSUS (Windows Server Update Services) aracılığıyla ve tüketiciler için Windows Update işlemi aracılığıyla kullanılabilir.