这是软件补丁的三重奏,Microsoft,Adobe和Oracle都在同一天发布安全更新。
不出所料,Microsoft在2014年星期二发布的补丁补丁相当轻巧,在四个安全公告中修复了六个不太重要的漏洞。 当天,Adobe发布了两个重要更新,修复了Adobe Reader,Acrobat和Flash中的三个关键远程代码执行漏洞。 计划上的怪癖意味着Oracle的季度关键补丁更新也在同一周二发布,从而为IT管理员提供了大量补丁。 Oracle修复了40种产品中的144个漏洞,包括Java,MySQL,VirtualBox及其旗舰Oracle数据库。
Qualys的首席技术官沃尔夫冈·坎德克(Wolfgang Kandek)表示:“尽管Microsoft仅发布四个更新,但由于Adobe和Oracle的发布,IT管理员需要进行大量工作。
专家说,来自Oracle的Java补丁应该是最高优先级,其次是Adobe Reader和Flash公告,然后是Microsoft Word和XP更新。
甲骨文采用Java
即使考虑到Oracle每季度打补丁并修复更多产品,该CPU仍是解决问题数量的创纪录记录。 在144个安全漏洞中,有82个可以被认为是关键的,因为无需身份验证就可以远程利用它们。
Oracle庞大的CPU中解决的大多数漏洞都在Java v7中。 Oracle修复了34个远程执行漏洞,其中“常见漏洞评分系统”等级得分10。 CVSS指示缺陷的严重性以及攻击者获得系统完全控制权的可能性。
Java是2013年遭受攻击最多的软件之一,专家警告说,它将继续成为流行的目标。 如果您不使用它,请卸载它。 如果您需要安装Java,则至少要在Web浏览器中将其禁用,因为到目前为止,所有攻击都已经攻击了该浏览器。 如果确实要访问需要Java的Web应用程序,则将其保留在与默认浏览器不同的Web浏览器上,并在必要时进行切换。 如果您不需要它,请不要保留它。 如果您保留它,请立即进行修补。
Oracle还修复了自己的Oracle数据库中的五个安全漏洞(其中一个可以远程利用)和MySQL中的18个漏洞。 这些错误中的三个可以被远程攻击,并且其CVSS最高得分为10。服务器软件Solaris有11个缺陷,其中一个可以远程攻击。 最严重的Solaris错误的CVSS评分为7.2。 CPU解决了Oracle虚拟化软件中的九个问题,其中包括虚拟化软件VirtualBox,其中四个可以远程触发。 CVSS的最高得分是6.2。
如果您正在运行这些产品中的任何一个,则必须立即更新它们。 MySQL被广泛用作许多流行的CMS和论坛软件(包括WordPress和phpBB)的后端系统。
阅读器和Flash修复
Adobe修复了Adobe Flash,Acrobat和Reader中的安全问题,如果加以利用,攻击者将完全控制目标系统。 Acrobat和Reader错误的攻击媒介是恶意PDF文件。 通过访问恶意网页或打开带有嵌入式Flash对象的文档,可以利用Flash漏洞。
如果您为Adobe产品打开了后台更新,则这些更新应该是无缝的。 使用Google Chrome和Internet Explorer 10和11的用户将不必担心新版本的Flash,因为浏览器会自动更新该软件。
简易Microsoft更新
Microsoft修复了Microsoft Word(MS14-001)中的一个文件格式漏洞,如果用户打开陷阱陷阱的Word文件,该漏洞可被远程利用。 它会影响Windows上的所有Microsoft Word版本,包括Office 2003、2007、2010和2013,以及Word文档查看器。 Mac OS X用户不受影响。
去年11月在野外发现的影响Windows XP和Server 2003系统的零日漏洞(CVE-2013-5065)终于得到了修补(MS14-002)。 尽管NDProxy中的特权提升漏洞无法远程执行,但它应该具有较高的优先级,因为它可以与其他漏洞结合在一起。 为了访问Windows内核错误,11月的攻击使用了恶意PDF文档首先触发了Adobe Reader(2013年5月在APSB13-15中修复)漏洞。 Microsoft修复了Windows 7和Server 2008(MS14-003)中的类似特权提升漏洞。
Rapid7说:“如果您担心002而不是003,那么四月份Windows XP支持终止时,您可能会遇到一些问题。”
Trustwave警告说,这些漏洞本身可能并不严重,但综合起来可能更加严重。 该小组说,如果使用恶意Office文档的活动执行针对特权提升漏洞的代码,那么“向不知情的用户发送网络钓鱼电子邮件就足够了”。
