Microsoft November Security Updates – Review
Postul asta vine cam tarziu, insa mai bine mai tarziu decat niciodata. O sa incercam ca in viitor sa avem asa ceva pentru fiecare serie de update-uri de securitate scoase de Microsoft.
| Bulletin No. | Description | Impact | Client Severity Rating | Server Severity Rating |
| MS09-063 | Vulnerability in Web Services on Devices API Could Allow Remote Code Execution (973565) | Remote Code Execution | Critical | Critical |
| MS09-064 | Vulnerability in License Logging Server Could Allow Remote Code Execution (974783) | Remote Code Execution | N/A | Critical |
| MS09-065 | Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (969947) | Remote Code Execution | Critical | Critical (depinde,explicam mai jos) |
| MS09-066 | Vulnerability in Active Directory Could Allow Denial of Service (973309) | Denial of Service | N/A | Critical |
| MS09-067 | Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (972652) | Remote Code Execution | Critical | Depinde |
| MS09-068 | Vulnerability in Microsoft Office Word Could Allow Remote Code Execution (976307) | Remote Code Execution | Critical | Depinde |
Primul din lista este MS09-063 care datorita unei vulnerabilitati in WSDAPI afecteaza Vista si 2008 Server (inclusiv Core). Se poate folosi Windows Firewall pentru a inchide porturile pe care asculta acest serviciu.
Urmatorul se refera numai la Windows 2000 server pentru ca afecteaza serviciul License Logging – credeam ca toata luma a oprit acest serviciu pana acum.
Si acum vine cireasa de pe tort, MS09-065, in care sunt mai multe probleme dar cea mai mare e ca datorita unor elemente din kernel care proceseaza fonturile, un atacator ar putea face remote remote code execution pe masina “victimei”. Trebuie totusi sa redirectioneze victima catre o pagina web in care are continut special facut pentru acest scenariu (e doar un mod, exista si altele). Aici putem comenta putin severity rating-ul pentru servere: daca nu browsezi de pe server, sansele sa fii afectat sunt minime. Windows 7 si 2008 R2 nu sunt afectate. Atentie ca exista probleme cu acest update. Check here: http://support.microsoft.com/kb/969947
PS: 2008 Server core e afectat si el 🙂
Urmatorul se refera strict la Active Directory, ADAM sau AD LDS, facand exceptie AD & AD LDS de pe Windows 2008 R2. Sfatul meu e sa testati update-ul si sa-l instalati.
Ultimele doua se refera strict la Office si sunt importante pe partea de client. Macuserii sunt afectati si ei. Pe servere, daca nu rulezi produsele descrise in buletin, nu esti afectat.
Tacamul complet il gasiti aici: http://www.microsoft.com/technet/security/bulletin/ms09-nov.mspx
Si acum cate putin din teoria conspiratiei: mi se pare suspect ca imediat dupa lansarea Windows 7 apar update-uri care sa demonstreze ca 7 & R2 sunt mult mai secure. Pai produsele astea erau in development de mult timp si au fost gata din vara. Daca producatorul a identificat problemele si le-a corectat in noile versiuni, de ce nu a scos patchurile in acel moment? La fel si cu BSOD-ul din SMBv2. E oare o strategie de marketing pentru a impinge clientii catre un anumit produs? Nu stiu, e doar un gand care mi-a venit acum in minte.
Insa un lucru e clar – http://isc.sans.org/diary.html?storyid=7573. Povestea de aici e pe bune si afecteaza numai Windows 7 si 2008 R2. Indiferent ca dezactivati SMBv2 sau nu.