מיקרוסופט פרסמה את הסבב האחרון שלה של עדכוני Patch Tuesday אשר מטפלים ב-90 ליקויי אבטחה בסך הכל כולל 10 ימי אפס – ומתוכם שישה מנוצלים באופן פעיל על ידי האקרים בהתקפות שלהם.
כפי שדווח על ידי האקר ניוז, מתוך 90 הפגמים הללו, ל-9 יש דירוג קריטי בעוד ש-80 האחרים מדורגים כחשובים. במקביל, מיקרוסופט תיקנה גם 36 פגיעויות בדפדפן Edge שלה מאז החודש שעבר.
אם אתה הבעלים של אחד מהמחשבים הניידים הטובים ביותר של Windows או שולחן עבודה עם Windows, עליך להתקין את התיקונים החדשים האלה באופן מיידי כדי למנוע נפילות קורבן לכל התקפות המנצלות אותם. הנה כל מה שאתה צריך לדעת על עדכוני ה-Patch Tuesday של אוגוסט יחד עם כמה טיפים כיצד לשמור על המחשב שלך מפני האקרים.
ניצלו באופן פעיל ימי אפס
למרות שעדכוני ה-Patch Tuesday של החודש מתקנים 10 פגמים של יום אפס בסך הכל, שישה מהם נמצאים כעת בשימוש על ידי האקרים בהתקפות שלהם:
- פגיעות של ביצוע קוד מרחוק של Microsoft Project (במעקב כ-CVE-2024-38189)
- פגיעות שחיתת זיכרון של מנוע Scripting של Windows (במעקב כ-CVE-2024-38178)
- מנהל התקן נלווה של Windows עבור פגיעות של העלאת הרשאות ב-WinSock (במעקב כ-CVE-2024-38193)
- פגיעות של העלאת זכויות בליבת Windows (במעקב כ-CVE-2024-38106)
- פגיעות של העלאת הרשאות של מתאם כוח של Windows Power (במעקב כ-CVE-2024-38107)
- Windows סימן של פגיעות עקיפת תכונת אבטחת האינטרנט (במעקב כ-CVE-2024-38213)
בעוד שהפגם הראשון המפורט לעיל הוא החמור ביותר עם ציון CVSS של 8.8, האחרון הוא כנראה הבולט ביותר מכיוון שהוא מאפשר להאקרים לעקוף את הגנות SmartScreen של מיקרוסופט ב-Windows על ידי הטעיית משתמש תמימה לפתוח קובץ זדוני. פגיעות זו משכה גם את תשומת לבה של הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) אשר דורשת כעת מהסוכנויות הפדרליות לתקן אותה עד תחילת ספטמבר.
בפוסט בבלוג, חברת אבטחת הסייבר Tenable הדגישה פגיעות זיוף של Microsoft Office (במעקב כ-CVE-2024-38200) שתוקנה גם בעדכוני ה-Patch Tuesday האחרונים. על ידי שליחת דוא"ל פישינג עם קובץ בעל מבנה מיוחד, האקר יכול לנצל את הפגם הזה כדי להשתמש בהתקפות שלהם.
למרבה הצער, מיקרוסופט עדיין לא פרסמה תיקון לשתי הסלמה של פגיעויות הרשאות (במעקב כמו CVE-2024-38202 ו-CVE-2024-21302), אשר עשוי לשמש לשדרוג לאחור של מערכות Windows לגרסה מוקדמת יותר של מערכת ההפעלה כדי להשיק נוסף התקפות. עם זאת, כאשר יצרה קשר מ-The Hacker News, מיקרוסופט אמרה שהיא תשקול לתקן את הפגמים הללו בעדכון עתידי.
כיצד לשמור על מחשב Windows שלך מפני האקרים
הדרך הקלה ביותר לשמור על המחשב שלך מוגן היא להתקין את העדכונים האחרונים ברגע שהם הופכים זמינים. הסיבה היא שהאקרים מכוונים לעתים קרובות למשתמשים המריצים תוכנה מיושנת בהתקפות שלהם.
מכאן, כדאי גם לשקול להשתמש בתוכנת האנטי-וירוס הטובה ביותר כדי להישאר בטוח מפני תוכנות זדוניות ווירוסים אחרים. Windows Defender השתפר משמעותית במהלך השנים וכעת הוא טוב בהרבה באיתור ובעצירת תוכנות זדוניות. עם זאת, תוכנת אנטי-וירוס בתשלום מגיעה לרוב גם עם תוספות שימושיות כמו VPN או מנהל סיסמאות להגנה נוספת.
אתה גם רוצה להימנע מלחיצה על קישורים או הורדת קבצים מצורפים באימיילים משולחים לא ידועים מכיוון שהם יכולים להכיל תוכנות זדוניות. באופן דומה, כשאתה מחפש תוכנה חדשה באינטרנט, אתה רוצה לגלול מטה לתוצאות החיפוש בפועל מכיוון שהאקרים משתמשים כעת במודעות כדי להפיץ תוכנות זדוניות.
האקרים וחברות כמו מיקרוסופט משחקים משחק מתמיד של חתול ועכבר אחד עם השני בכל הנוגע לתיקון נקודות תורפה המשמשות במתקפות סייבר. עם זאת, אם אתה מעדכן את המחשב שלך באופן קבוע, תחשוב לפני שאתה לוחץ על קישורים חשודים ואל תוריד קבצים מאתרים פחות מכובדים, אתה אמור להיות מסוגל להימנע מליפול קורבן למתקפות סייבר והונאות מקוונות אחרות.
עדכוני Patch Tuesday משוחררים ביום שלישי השני של כל חודש, אז אתה צריך לתכנן לעדכן את PC Windows שלך בערך בזמן הזה כדי להבטיח שאתה מפעיל את התוכנה העדכנית ביותר במחשב שלך.
