|
| |
 |
פרצות אבטחה חמורות וטלאים קריטיים ממיקרוסופט, Adobe, אורקל וסיסקו
|
| |
 |
גבוהה מאוד
|
| |
 |
מיידית (ר' המלצות להתנהגות בהמשך) |
|
|
|
|
יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
|
|
|
|
ללקוחותינו שלום,
|
כבר בתחילת חודש אוקטובר (6.10.10), שיחררה מיקרוסופט התראה מקדימה לקראת פרסום סט העדכונים החודשי שלה, שיכלול 16 טלאי אבטחה חשובים. שחרור סט העדכונים הרשמי התרחש כשבוע לאחר מכן (12.10.10), כאשר ארבעה עדכונים הוגדרו ברמת סיכון "קריטית" ועשרה נוספים הוגדרו כ"חשובים". שני טלאים נוספים הוגדרו ברמת סיכון "בינונית". פגיעויות שנמצאו ברמת סיכון "קריטית" ו"חשובה" רלוונטיות ברובן עבור כלל מערכות ההפעלה מבית מיקרוסופט, ולחלק מחבילת תוכנות האופיס - "וורד" ו-"אקסל".
גם Adobe מפרסמת ארבעה עדכונים קריטיים המטפלים במספר פגיעויות שונות בשורה של אפליקציות פופולאריות. כל הפגיעויות מאפשרות לתוקף לגרום לקריסת התוכנה והרצת קוד זדוני העלול להוביל להשתלטות על המכונה המותקפת.
דווקא על חברת CISCO עבר חודש כמעט חופשי מדאגות, והיא פרסמה רק עדכון קריטי אחד למערכת CiscoWorks Common Services התקף עבור כל הפלטפורמות הנתמכות.
חבילת עדכונים קריטיים גדולה במיוחד שוחררה ע"י Oracle עבור מגוון תוכנות, והיא כוללת 85 טלאי אבטחה הנחלקים בין 13 תוכנות שונות שבבעלותה.
באופן כללי, דירוג רמת החומרה של פגיעות מסוימת ע"י היצרן מושפע ממספר גורמים, כגון:
- פוטנציאל הניצול של הפגיעות
- תוצאותיו המשוערות
- נפיצות האפליקציה המכילה את הפגיעות
- חשיבותה של האפליקציה בארגון
מומלץ לבחון לעומק את האפליקציות המכילות את הפגיעויות שפורסמו ואת פריסתן בארגון שלכם, מכיוון שלעיתים תתכן אי-התאמה בין רמת החומרה המיוחסת לפגיעות ע"י יצרן התוכנה, לבין משמעות הפגיעות בארגון ספציפי שנבדק.
בברכה,
צוות איי פי וי סקיוריטי בע"מ
|
|
|
|
|
|
 |
מיקרוסופט |
|
|
|
|
|
סט העדכונים של חודש אוקטובר פורסם לקראת אמצע החודש, וכלל 16 טלאים בדרגת סיכון "חשוב" ומעלה.
ארבעת העדכונים שהוגדרו כ"קריטיים" באים כדי לתקן פגיעויות הניתנות למימוש ברוב מערכות ההפעלה מבית מיקרוסופט, בדפדפן IE (מגרסה 8 ומטה), וברכיב ספציפי בתוכנת "Windows Media Player" שניתן למימוש רק במערכות Win7 או Vista.
כל הפגיעויות שהוגדרו ברמת סיכון "קריטית" מאפשרות לאחר ניצול הרצת קוד ממחשב מרוחק.
עשרת העדכונים שהוגדרו ברמת סיכון "חשובה" רלוונטיים עבור שורה ארוכה של מערכות הפעלה מבית מיקרוסופט, אולם לעיתים ניצול מוצלח של הפגיעות דורש הגדרות תצורה מסוימות השונות מהגדרות ברירת המחדל. מכאן שיש לבדוק באופן ספציפי את נחיצות התקנת טלאי האבטחה על כל מכונה.
יש לציין כי כל אחד מטלאי אבטחה בסט העדכונים שפורסם מתקן בפועל מספר גדול יותר של פרצות ופגיעויות אפשריות. לדוגמה, MS10-071 כולל למעשה 7 תיקונים קריטיים/חשובים לבעיות שונות, ומהווה "תיקון לתיקון" מאחר והוא מחליף חבילת תיקונים שפורסמה ממש לאחרונה - MS10-053.
את הSecurity Bulletin המלא של מיקרוסופט ניתן לקרוא כאן:
http://www.microsoft.com/technet/security/bulletin/ms10-oct.mspx |
|
|
|
|
|
|
|
|
|
|
|
|
|
Adobe |
|
|
|
|
|
|
|
|
|
|
|
סיסקו |
|
|
|
|
|
חודש שקט יחסית עבר על חברת Cisco הפעם, כשרק פרסום אחד מפר אותו לקראת סוף החודש. הפרצה שהתגלתה נמצאה בקוד "CiscoWorks Common Services", והיא רלוונטית עבור פלטפורמות Windows ו-Solaris כאחד. הפגיעות מאפשרת הרצת קוד זדוני, ונכון לתאריך פרסום הידיעה לא היה קיים טלאי אבטחה זמין להורדה. רק בימים האחרונים עודכן הפרסום, וכעת ישנו עדכון המבטל את הפגיעות. בצורה לא אופיינית, אין "workaround" שיכול לספק הגנה באופן מוחלט כרגע - וחברת Cisco מציעה הליך זמני שביכולתו להפחית את סיכויי הפגיעה בלבד, במידה ואין אפשרות להתקנת טלאי האבטחה
מידע נוסף לגבי הפרצה:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b51501.shtml |
|
|
|
|
|
|
|
|
|
|
אורקל |
|
|
|
|
|
לא פחות מ-85 פרצות שונות בשורה ארוכה של תוכנות שוחררו בעדכון החודשי מבית Oracle (Oracle CPU). רשימת התוכנות הפגיעות כוללת את Oracle Database, Oracle Application Server, Oracle Sun Product Suite, ואחרים.
כל התיקונים הרלוונטיים לפרצות הנ"ל זמינים להורדה והתקנה כטלאי אבטחה נפרדים. כמו תמיד, אורקל ממליצה באופן ברור להתקין בהקדם את טלאי האבטחה, ולא להטמיע פתרונות "workarounds" שונים למרות זמינותם.
מימוש כל אחת מהפגיעויות מוביל במרבית המקרים לאפשרות הרצת קוד זדוני ממחשב מרוחק.
מידע ואפשרויות תיקון לגבי כ"א מהפגיעויות ניתן למצוא כאן:
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
עדכון קצר מאיי פי וי סקיוריטי |
|
|
|
|
לכל לקוחותינו וקוראינו,
לקראת 2011 אנחנו שמחים להשיק שירות חדש:
"ענן השקט שלך" - Security Auditing As a Service
השירות עונה על דרישות תקנים כגון: iSOX, SOX, PCI-DSS
מעוניינים לקבל עוד פרטים?
נא מלאו את טופס בקשת פגישה ונציגינו יחזרו אליכם תוך 24 שעות.
נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מניסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.
שתפו אותנו ואת הקולגות שלכם - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ל ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!
הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.
הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.
|
|
|
|
|
|
|
