Home » Vulnerabilităţi » Patch Tuesday. Actualizări de securitate, iunie 2010

Patch Tuesday. Actualizări de securitate, iunie 2010

Urmare a discuţiei extrem de interesante avute ieri (cu privire la importanţa articolelor ce privesc subiecte de securitate şi modul în care acestea sunt percepute de vizitatorii obişnuiţi), am decis să operez câteva modificări în structura blogului Stefa Media. Fără a implica o repoziţionare „de nişă”, am să încerc să semnalez vulnerabilităţi prezente în diferite softuri (despre care aflăm zi de zi), subliniind importanţa informării corecte, ca prim pas al unei protecţii eficiente.

Categoria VULNERABITĂŢI se va transforma în VULNERABITĂŢI ŞI ACTULIZĂRI, urmând ca atât pe sub domeniul noutati.stefamedia.ro (a cărui prezentare oficială se amână), dar şi pe blogul principal să aduc în atenţia cititorilor tot ceea ce consider ca fiind util. Iar mai apoi, dacă-i copil sa se joace, dacă-i cal sa tragă, dacă-i popa (sau măcar interesat de propria securitate online) sa citească.

Nu intenţionez să iau locul vreunuia dintre cei patru călăreţi ai Apocalipsei (asta dacă tot am atins subiectul echitaţiei), şi este suficient să aruncaţi o privire pe contul de twitter ThreatFeed, pentru ca înţelege că mi-ar fi imposibil să ţin pasul cu toate problemele.

Ce-am să fac însă, este să prezint aşa numitele actualizări de marţi (sau Patch Tuesday), un obicei pe care Microsoft l-a deprins încă de pe vremea Windows-ului 98 şi de care am devenit, mai mult sau mai puţin, dependenţi. Acelora dintre voi mai puţin familiarizaţi cu Patch Tuesday, le spun că odată ce Microsoft a finalizat sistemului de actualizare automată, s-a văzut pus în situaţia de constata că foarte puţini utilizatori beneficiază de acestă facilitate, nefiind interesaţi / conştienţi de necesitatea actualizărilor.

Aşa se face că în fiecare lună, mai precis în a doua zi de marţi (de unde şi numele de Patch Tuesday), Microsoft nu doar că oferă un pachet de actualizări, dar îl şi popularizează printr-un buletin de securitate dedicat. Deloc de neglijat este faptul că aceste actualizări NU se implică doar la sistemul de operare, ci şi browser-ul web (dacă folosiţi Internet Explorer), suita MS Office, platforma .NET, Media Player, SQL Server, ş.a.m.d.

Ce aduce nou Patch Tuesday din iunie 2010 ?

În iunie 2010, Microsoft a venit cu soluţii pentru remedierea unui număr semnificativ de deficienţe, care exploatate ar fi permis preluarea controlului asupra un sistem Windows, fie printr-un fişier multimedia special conceput sau printr-o pagină web ce conţinea malware (şi ar fi fost accesată cu Internet Explorer).

Joshua Talbot, unul dintre responsabilii cu securitatea la Symantec, spunea despre acest pachet de actualizări că este unul dintre cele mai importante lansat de Microsoft, şi cel mai mare din 2010. Iar după ce s-a întâmplat în octombrie 2009, e pentru prima dată când Microsoft reacţionează rapid, un semn bun şi exemplu de urmat pentru alţi jucători din industrie. La polul opus, aş amintit atitudinea Adobe care anunţă un petic pentru Acrobat şi Adobe Reader până la data de 29 iunie, în condiţiile în care vulnerabilitatea este deja cunoscută / şi exploatată.

Dar să revenim la Patch Tuesday, şi vă spun că numai puţin de 10 buletine de securitate (dintre care trei critice), documentând 34 de vulnerabilităţi ce afectau TOATE sistemele Windows, Office XP, Office 2003 şi 2007 Microsoft Office System, Office 2004 şi 2008 pentru Mac, Excel Viewer şi Sharepoint Services 3.0, îşi găsesc rezolvarea.

MS10-033 se referă la o vulnerabilitate socotită critică. Cu ajutorul unor fişiere multimedia special concepute şi plasate într-o pagină web (ori livrate direct), şi beneficiind de problemele din quartz.dll, respectiv asycfilt.dll, atacatorul ar fi fost capabil să preia controlul asupra calculatorului gazdei.

MS10-034 este un update cumulativ pentru ActiveX (Kill Bits), critic pentru sistemele Windows 2000, XP, Vista şi Windows 7. Două aspecte sunt vizate: Internet Explorer 8 Developer Tools şi controlul Data Analyzer ActiveX. În plus, se instalează mecanisme de control (Kill Bits) şi pentru aplicaţiile terţe.

MS10-035 este un o actualizare pentru Internet Explorer, ce remediază şase vulnerabilităţi, dintre doar una cunoscută publicului (de aceea am spus că Microsoft a dat dovadă de promptitudine).

Pentru cei care au ratat „ştirea”, aflaţi că Peter Vreugdenhil (un cercetător în domeniu), a câştigat 10.000 de dolari în timpul unui conferinţe de securitate desfăşurate la Vancouver, reuşind să preia controlul asupra unui sistem Windows 7, în ciuda protecţiilor DEP (eng. data execution prevention) sau ASLR.

O altă problemă rezolvată de acest set de actualizări, privea o vulnerabilitate în SharePoint Services 3.0 şi care ar fi permis atacuri de tip XSS (cross-site scripting) prin intermediul browser-ului web. Deşi vulnerabilitatea a fost recunoscută (şi demonstrată) încă din luna aprilie, Microsoft a negat că ar avea cunoştinţă de vreun astfel de atac.

Alte găuri de securitate în driver-ele Windows Kernel-Mod, în COM (Component Object Model) Validation pentru Office, în OpenType Compact Font Format Driver, în Excel, în Internet Information Services şi Microsoft .NET Framework, au fost de asemeni remediate.

Atenţie ! Deşi poate să pară uşor fantezistă, vulnerabilitatea din kernel-ul Windows ce a permis instalarea unor font-uri TrueType viciate, m-a pus serios pe gânduri şi ar fi bine să tratăm orice site, chiar şi cele familiare, cu maximă precauţie.

Toate aceste vulnerabilităţi / remedii sunt explicate în amănunt pe blogul Microsoft Security Response Center (MSRC) şi ar fi bine să aruncaţi o privire. Ce pot să vă recomand, este să trataţi Patch Tuesday cu maximă atenţie, fiindcă nu există nici un motiv să nu folosiţi un sistem protejat. Iar aici îmi permit o paranteză. Actualizarea sistemului şi validarea lui (recunoaşterea autenticităţii / legalităţii) sunt două lucruri distincte, una nu o include pe cealaltă (nici nu o exclude), dar am văzut că mulţi profită de această confuzie pentru a încetăţeni ideea că doar sistemele autentificate prin WGA permit actualizările. E o dezinformare.

La final…

Vă las în compania sumarului buletinelor de securitate pentru iunie 2010. Să aveţi parte de o actualizare sigură şi fără probleme, dar nu uitaţi două lucruri:

  1. Activaţi (ori mai degrabă nu dezactivaţi) funcţia de restaurare a sistemului (eng. System Restore) fiindcă nu se ştie niciodată ce se poate întâmpla.
  2. Înainte de trece la instalarea actualizărilor, dacă este posibil, faceţi un backup al partiţiei de sistem. Am văzut destule cazuri în care fie s-a întrerupt alimentarea cu energie electrică, fie a cedat un HDD, ori s-a activat vreun troian pescuit din mările tulburi ale Internetului şi ar fi păcat ca ceea ce se presupune a fi o acţiune de întărire a securităţii, de creşte a stabilităţii sistemului, să aibă efecte contrare.
Materiale bibliografice:
  • http://blogs.technet.com/b/msrc/archive/2010/06/08/june-2010-security-bulletin-release.aspx
  • http://blogs.technet.com/b/srd/archive/2010/06/08/assessing-the-risk-of-the-june-security-bulletins.aspx
  • http://siblog.mcafee.com/system-endpoint/microsoft-gives-us-more-work-on-tuesday-how-to-fight-back-on-the-browser/
  • http://news.cnet.com/8301-27080_3-20007103-245.html
  • http://www.microsoft.com/technet/security/Bulletin/MS10-jun.mspx
  • http://en.wikipedia.org/wiki/Patch_Tuesday

Despre autor şi articol

a scris 281 articole pe blogul Stefa Media.


Student la Comunicare şi Relaţii Publice, cunoscător al jocurilor din perioada anilor '80 sau '90, interesat de IT şi WordPress, scriu despre ce-mi place şi, de cele mai multe ori, îmi place ceea ce scriu. Şi nu doar mie. De aceea continui.


Categorii: Vulnerabilităţi Etichete: 2010, actualizare de securitate, actualizări, buletin de securitate, Microsoft, patch, Patch Tuesday, Vulnerabilităţi, WINDOWS

  1. bcman
    Iunie 10th, 2010 la 14:26 | #1
    Răspunde | Citat

    Foarte bine! Felicitari. Este bine ca vorbesti cat mai mult despre securitate, unul din lucrurile care ma intereseaza cel mai mult. Ar fi bine sa vorbesti nu numai despre vulnerabilitatile din Windows, deoarece lumea trebuie sa fie informata. Exemplu este ultima vulnerabilitate raportata in Flash. Am instalat imediat verisunea 10.1 beta. Stiu ca e o versiune beta, dar ofera avantaje serioase, nu numai cu privire la securitate. E mult mai bine decat sa fi instalat versiunea 8. Oricum folosesc NoScript, un add-on care ofera o protectie destul de buna, mai ales in fata atacurilor XSS. El blocheaza si scripturile si flash-urile, ceea ce face ca o vulnerabilitate in flash sa nu fie asa critica.

  2. sergiu
    Iunie 10th, 2010 la 19:53 | #2
    Răspunde | Citat

    Salut Andrei. Ei iata,un articol nemaipomenit ,ar cam trebui sa ia toata lumea seama de cele descrise in articolul foarte bine detailat. Continua tot asa,Andrei! STIMA.

  3. andrei
    Iunie 10th, 2010 la 21:17 | #3
    Răspunde | Citat

    Salut @bcman

    Mulţumesc de aprecieri. Ai perfectă dreptate cu Flash 10.1 (chiar dacă e beta, a ajuns deja la RC7), iar NoScript îl folosesc şi eu. În fapt, am un articol în draft de la începutul anului, tot gândindu-mă cum să explic mai bine ce-i cu acest NoScript. Până la urmă, cred că-l mai corectez un pic şi îl public :D

  4. Valigw
    Iunie 11th, 2010 la 18:36 | #4
    Răspunde | Citat

    Poate sunt pe langa subiect, dar am si eu o idee despre un lucru care cred eu ca ar interesa pe multi incepatori-asemenea mie. Concret am trecut de la xp la 7 (dar e valabil pt. ambele cazuri) si cand vin actualizarile de la Windows nu stiu pe care sa le instalez. Poate nu toate sunt strict necesare, de exemplu cele facultative. Sau alt exemplu daca eu nu folosesc Outlook am nevoie de actualizarea care tocmai a venit: KB 983503. Alt exemplu sa instalez actualizarea la Widows Defender KB 915597, merita sa folosesc Widows Defender ? Si daca da cum ?
    Cred eu ca foarte multa lume nu stie la ce folosesc actualizarile astea care vin periodic (poate cu exceptia lui Genuine pe care “unii” o mai stiu), si ar fi bine ca oamenii sa seteze si sa instaleze doar ce au nevoie pentru a nu incarca calculatorul inutil !

  5. andrei
    Iunie 11th, 2010 la 20:02 | #5
    Răspunde | Citat

    Salut @Valigw

    Problema ridicată este una extrem de pertinentă, fiindcă nu de puţine ori mi s-a întâmplat să instalez o serie de actualizări a căror utilitate a lăsat de dorit. Mai ales că Microsoft a deprins un obicei extrem de neplăcut şi ascunde surprize prin pachetul de actualizări.

    Din fericire, utilizatorii de Vista şi W7 au posibilitatea de opta doar pentru actualizările de Windows sau, restrângând încă şi mai mult aria, la acele actualizări esenţiale (critice) sistemului de operare. Eu obişnuiesc să mă documentez (buletinele oficiale sunt întotdeauna disponibile), dar în lipsă de timp, aş recomanda instalarea tuturor actualizărilor care NU sunt trecute la capitolul facultativ.

    Atenţie ! Dacă ţi s-a recomandat să instalezi o actualizare pentru Outlook sau orice altă componentă a pachetului MS Office, înseamnă că această suită este instalată pe sistem (chiar dacă n-o foloseşti în mod curent). Legat de celălalt exemplu, deşi nu utilizez Widows Defender, obişnuiesc să-l actualizez fiindcă s-ar putea ca la un moment dat acest lucru să-mi fie de ajutor. Să spunem că-mi place să joc la siguranţă.

    P.S. Voi face un articol cu o metodă specială de actualizare…