Patch Selasa - Jun 2019

Bulan ini Microsoft melakukan empat kekurangan sifar pada hari ini Windows 10 dan beberapa kekunci keselamatan Bluetooth berhenti berfungsi.

Empat Zero-Days Patched

Bulan ini Microsoft mengeluarkan perbaikan untuk empat bug sifar hari di Windows. BearLPE (CVE-2019-1069) adalah pepijat dalam komponen Penjadual Tugas dari Windows 10 dan Windows Server yang boleh membenarkan penyerang untuk meningkatkan keistimewaan. SandboxEscape (CVE-2019-1053) adalah kegagalan keistimewaan Windows Shell (EOP) yang gagal untuk mengesahkan jalan pintas folder dan boleh membenarkan penyerang untuk meningkatkan keistimewaan dengan melepaskan kotak pasir. CVE-2019-1064 telah dikeluarkan untuk mengelakkan memotong bug EOP sebelumnya (CVE-2019-0841) dalam Perkhidmatan Pelaporan AppX. Akhirnya, InstallerBypass (CVE-2019-0973) adalah satu lagi kesan EOP yang menjejaskan Windows 10 dan Windows 8, kali ini dalam perkhidmatan Windows Installer apabila ia gagal untuk memeriksa input dengan betul, yang membolehkan penyerang memuatkan perpustakaan yang tidak selamat.

SandboxEscaper, penyelidik keselamatan yang telah mendedahkan pepijat dalam Windows lewat, juga menerbitkan butiran pada hari kelima sifar yang dipanggil ByeBear yang memberi kesan Windows 10 dan pelayan 2019. Ini adalah satu lagi cara mengeksploitasi patch Perkhidmatan Pelaporan AppX yang digunakan oleh Microsoft pada bulan ini. Sebaik sahaja Microsoft merangkul eksploit ini, SandboxEscaper mencari cara lain di sekelilingnya. Sekiranya Microsoft menganggap ia cukup serius, kita mungkin melihat bug baru ini ditambal sebelum Patch Selasa depan.

Windows 10, Windows Server 2016, dan 2019

Selain dari empat hari sifar, Microsoft menampal pepijat pelaksanaan kod 11 (RCE), tiga daripadanya dinilai kritikal. CVE-2019-0620 dan CVE-2019-0722 adalah pepijat Hyper-V yang boleh membiarkan penyerang menjalankan kod sewenang-wenang pada sistem pengendalian tuan rumah dengan menjalankan kod yang direka khas di OS tetamu. CVE-2019-0888 adalah kelemahan dalam cara Objek Data ActiveX (ADO) mengendalikan objek dalam memori dan boleh membenarkan penyerang untuk mengompromi mesin dengan meyakinkan pengguna untuk melawat laman web yang dibuat khusus.

Terdapat juga 9 RCE yang dinilai kritikal untuk Microsoft Edge dan Chakra Core, semuanya yang sama ada memori bug rasuah atau masalah dengan cara objek ditangani dalam ingatan. Sesetengah kelemahan ini juga menjejaskan Internet Explorer.

Windows 7 SP1 dan Windows Server 2008 R2

Windows 7 mendapat patch untuk dua RCE kritikal. Satu adalah untuk CVE-2019-0888, kecacatan Objek Data ActiveX yang diterangkan di atas. Yang kedua (CVE-2019-0985), adalah pepijat dalam bagaimana Microsoft Speech API (SAPI) mengendalikan input teks-ke-ucapan (TTS). Untuk mengeksploitasi kelemahan ini, pengguna harus yakin untuk membuka dokumen yang dibuat khusus dengan kandungan TTS.

Di samping itu, tampalan untuk CVE-2019-1019 membetulkan masalah di mana mesej NETLOGON mungkin dapat memperoleh kunci sesi dan menandatangani mesej.

Microsoft Office

Office 365 Pro Plus (Click-to-Run) mendapat patch untuk dua RCEs. CVE-2019-1034 dan CVE-2019-1035 adalah kedua-dua kekurangan dalam Word yang gagal untuk mengendalikan objek dalam memori dan dapat membenarkan penyerang menjalankan tindakan dalam konteks pengguna yang log in.

Semua versi Exchange yang disokong mendapat patch yang meningkatkan keselamatan pertahanan yang mendalam. Microsoft SharePoint Server 2010 SP2, Pelayan Enterprise SharePoint 2013 SP1, 2016, dan 2019 semuanya ditambal untuk kelemahan memori Word (CVE-2019-1034) yang digariskan di atas.

Kekunci Tenaga Rendah Bluetooth

Selepas anda menggunakan kemas kini untuk Patch Selasa ini, anda tidak lagi dapat memasangkan kekunci keselamatan Titan dan Google Titan yang mengandungi konfigurasi salah dalam protokol berpasangan Bluetooth yang boleh membenarkan penyerang berinteraksi dengan kunci. Untuk maklumat lanjut mengenai isu ini, lihat tapak web Microsoft di sini. Jika anda mempunyai kunci Google yang terjejas, anda boleh menggunakannya halaman untuk meminta penggantian percuma.

Adobe

Akhir sekali, Adobe menetapkan beberapa kekurangan RCE yang dinilai kritikal dalam Flash Player, Acrobat, dan Acrobat Reader.

Jawatan Patch Selasa - Jun 2019 muncul pertama pada Petri.

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.