Patch April Microsoft Selasa tidak membawa perbaikan Pwn2Own

Administrator sistem dan pengguna keamanan TI dapat mengambil sedikit istirahat: Microsoft telah mengeluarkan seperangkat patch yang relatif ringan untuk edisi ini dari rilis bulanan perbaikan kerentanan perangkat lunak.

"Ini adalah patch yang membosankan Selasa bulan ini, dan itu merupakan hal yang sangat baik bagi tim keamanan TI karena tidak akan ada anjing gila yang terburu-buru untuk mendapatkan patch bulan ini dikerahkan," tulis Andrew Storms, direktur operasi keamanan untuk perusahaan keamanan nCircle, dalam pernyataan email.

Barangkali aspek yang paling mengejutkan dari penerbitan patch bulan ini adalah kerentanan profil tinggi yang tidak tercakup. Banyak diharapkan Microsoft untuk memperbaiki bug Pwn2Own Internet Explorer yang digali awal tahun ini selama kontes hacker, tetapi perbaikan tersebut tidak termasuk dalam ronde ini. "Ini menempatkan mereka sedikit di belakang browser lain yang sudah menambal bug Pwn2Own mereka," kata Storms.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Secara keseluruhan, Microsoft mengeluarkan sembilan buletin, yang meliputi 14 kerentanan. Sebaliknya, perusahaan memperbaiki 20 kerentanan pada bulan Maret, dan 57 pada bulan Februari.

Dua buletin dalam koleksi bulan ini ditetapkan sebagai kritis, dan tujuh lainnya diberi label sebagai penting. Windows desktop dan edisi server, Internet Explorer, Microsoft Office, Microsoft SharePoint, dan Windows Defender semua perlu diperbarui.

Perusahaan keamanan menyarankan untuk memperbarui Internet Explorer dengan patch kritis yang dirilis Microsoft bulan ini untuk browser, baik di MS13- 028 buletin, mempengaruhi semua versi Internet Explorer yang didukung, versi 6 hingga 10. “Penyerang akan mencari cara untuk mengeksploitasi dua kerentanan ini, karena penyerang dapat menargetkan beberapa versi Internet Explorer melalui penggunaan hanya beberapa kerentanan. Jadi penting untuk menyebarkan patch ini sesegera mungkin, ”tulis Marc Maiffret, chief technology officer untuk perusahaan keamanan BeyondTrust dalam analisisnya sendiri.

Buletin kritis lainnya meliputi klien Microsoft Remote Desktop, MS13-029. Kerentanan ini ada dalam kendali ActiveX klien, dan dapat memberikan kemampuan kepada penyerang untuk mengeksekusi kode arbitrer pada mesin pengguna. Untungnya, kerentanan ini tidak ada dalam versi terbaru dari klien Microsoft Remote Desktop, yang mengurangi hingga batas tertentu jumlah mesin yang terpengaruh, menurut nCircle.

Microsoft menghosting webcast untuk menjawab pertanyaan pelanggan tentang bundel tambalan ini di 10 April.