Microsoft на будущей неделе закроет 49 уязвимостей

Александр Панасенко 08 Октября 2010 - 14:35

...

Корпорация Microsoft на будущей неделе во вторник выпустит традиционный ежемесячный набор исправлений для своих продуктов. Сообщается, что в рамках предстоящего выпуска компания выпустит 16 бюллетеней по безопасности, затрагивающих такие продукты, как Windows, Internet Explorer, Office и .Net Framework.

Четыре бюллетеня здесь имеют критическую степень опасности, 10 промаркированы, как важные, еще два - как средней опасности. Всего исправлению должны подвергнуться следующие продукты: Windows XP, Vista, Windows 7, Windows Server 2003 и 2008, Microsoft Office XP Service Pack 3, Office 2003 Service Pack 3, Office 2007 Service Pack 2, Office 2010, Office 2004 for Mac и 2008 for Mac, Windows SharePoint Services 3.0, SharePoint Server 2007, Groove Server 2010 и Office Web Apps.

Microsoft не сообщает, коснется ли предстоящий патч опасностей, связанных с нашумевшими атаками червя Stuxnet, однако ранее компания уже проводила два экстренных выпуска патчей для уязвимостей нулевого дня, которые уже были связаны со Stuxnet, однако специалисты говорят, что для успешной нейтрализации червя следует закрыть еще две бреши. Напомним, что атака Stuxnet была направлена на ряд промышленных объектов, работающих на базе ОС Windows и управляющего оборудования Siemens.

Отметим также, что предстоящий выпуска набора путчей является крупнейшим в этом году. Прежний рекорд был поставлен в августе, когда были закрыты 34 уязвимости.

Ранее на этой неделе Microsoft опубликовала документ, написанный Скоттом Чарни, корпоративным вице-президентом Microsoft Trustworthy Computing, в котором он предлагает применять "модели общественного здравоохранения" к интернету. Он предлагает создать так называемые "сертификаты здоровья", которые будут показывать, что какой-либо компьютер, работающий в сети, имеет все доступные патчи, в нем верно настроен межсетевой экран, антивирусная программа в актуальном состоянии, а сама машина не имеет заражений. Если "сертификат здоровья" показывает, что что-то не так, к примеру нет последних патчей, то провайдер может уведомить пользователя об этом.

Источник

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 29 Апреля 2026 - 21:33

Уязвимости программ Домашние пользователи Корпорации

В GitHub нашли критическую дыру: можно было получить доступ к репозиториям

Исследователи из Wiz обнаружили критическую уязвимость в GitHub, которая позволяла выполнить код на серверной инфраструктуре платформы через обычную команду git push. Проблема получила идентификатор CVE-2026-3854 и затрагивала GitHub[.]com, корпоративный сервер GitHub и несколько облачных корпоративных версий GitHub.

Суть уязвимости была в ошибке обработки пользовательских параметров при git push.

Атакующему достаточно было иметь доступ на запись хотя бы в один репозиторий, в том числе созданный им самим, чтобы попытаться выполнить произвольные команды на сервере.

Для GitHub Enterprise Server это могло означать полную компрометацию сервера и доступ ко всем репозиториям и внутренним секретам. На GitHub.com риск был ещё больше: из-за общей бэкенд-инфраструктуры злоумышленник теоретически мог получить доступ к миллионам публичных и закрытых репозиториев, расположенных на затронутых узлах.

GitHub быстро закрыл проблему. Патч для GitHub.com развернули 4 марта, а для в GitHub Enterprise Server дыру закрыли 10 марта. По итогам внутреннего расследования корпорация заявила, что признаков эксплуатации уязвимости в реальных атаках не обнаружено.

Однако для корпоративных пользователей риск всё ещё актуален, если они не обновили свои инсталляции GitHub Enterprise Server. По данным Wiz, на момент публикации значительная часть таких серверов всё ещё оставалась без патча. Поэтому администраторам стоит как можно быстрее перейти на обновлённые версии.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!