Mga Pag-aayos ng Microsoft IE, Opisina sa Malaking Buwan ng Mga Update sa Seguridad

Inilabas ng Microsoft ang mga patches upang ayusin ang 19 kritikal na kahinaan sa software nito Martes, kasama ang limang mga flaws sa Internet Explorer browser nito na nagbibigay ng mga eksperto sa seguridad sa mga administrator ng IT upang mapabilis agad.

Ang kabuuang 11 seguridad ang mga update na inilabas para sa Agosto ay ang pinakamalaking pag-ikot ng mga update sa Patch Martes ang Microsoft ay inilabas mula noong huling Pebrero at dapat bigyan ang mga IT administrator ng maraming gawin upang ma-secure ang mga system ng kanilang mga kumpanya. "Ang mga tao ay magiging abala sa load na ito," sabi ni Jason Miller, lider ng data ng security team para sa Shavlik Technologies, isang patch-management software provider sa St. Paul, Minnesota.

Anim sa mga patches, na matatagpuan sa Web site ng Microsoft, ay nai-rate bilang kritikal, habang ang limang ay nai-rate na mahalaga.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Miller at iba pang mga eksperto sa seguridad ay binanggit ang Microsoft Security Bulletin MS08-045, Update ng Pinagsamang Seguridad para sa Internet Explorer, bilang pangunahing priyoridad sa batch ng mga update ng buwan na ito. Ang pag-update ay nagtatala ng limang mga kahina-hinalang naiulat na mga kahinaan at isa na na-isiwalat sa publiko at kung aling code ang pag-atake ay umiiral na, na ginagawang isang zero-day na depekto.

Don Leatham, direktor ng mga solusyon at diskarte para sa Lumension Security, sinabi ang katotohanan na ang mga kahinaan sa IE ay nakakaapekto sa HTML (Hypertext Markup Language) ay sapat na dahilan upang patching ang mga ito ng mahalagang kahalagahan, dahil ang pagkakataon para sa pagsasamantala ay napakalawak. "Ang bawat Web site sa mundo ay gumagamit ng HTML," sabi niya. Ang Lumension, na nakabase sa Scottsdale, Arizona, ay nagbibigay ng software at serbisyo ng pamamahala ng patch- at kahinaan-pamamahala

Shavlik's Miller sinabi na ang IE patch at isa pang kritikal na pag-update ay naglabas ng Martes na nag-aayos ng isang kahinaan sa ActiveX Control para sa Snapshot Viewer para sa Microsoft Access - - MS08-041 - ay kaugnay dahil pinapayagan nila ang parehong magsasalakay na lumikha ng isang Web site na nagsasamantala sa mga kahinaan na ito.

Tinukoy din ni Leatham ang Snapshot Viewer exploit bilang isang mataas na priyoridad para sa mga tagapangasiwa ng IT dahil maraming mga negosyo ang gumagamit ng Access at ang tool ng Snapshot Viewer nito nang husto.

"Makatitiyak ka na ginagamit ng mga tao ang manonood na magbahagi ng impormasyon sa mga kasosyo, mga customer at sa loob ay binigyan ng katanyagan ng Office suite at kung magkano ang mga negosyo ay may posibilidad na gumamit ng Access, "sabi niya.

Isang pag-update na nag-aayos ng isang kahinaan sa Microsoft Windows Image Color Management System - MS08-046 - dapat ding mai-install kaagad dahil maaari itong payagan ang isang pag-atake kung ang isang gumagamit ay nagna-navigate sa isang pahina ng Web at tinatanaw ang isang partikular na graphic, sinabi ng mga mananaliksik. Ang sistema ng pamamahala ng kulay ay bahagi ng graphical na subsystem ng Windows.

"Dahil [ang kahinaan] ay nakabatay sa Web at graphical, tiyak na gusto mong magbayad ng ilang espesyal na pansin sa isang iyon," sabi ni Leatham.

Ang dalawang pag-update sa Agosto bilang mahalaga ay dapat din ng interes sa mga propesyonal sa IT, kahit na binigyan sila ng Microsoft ng mga kritikal na update. Ang mga ito ay MS08-047, na nag-aayos ng isang kahinaan sa pagpoproseso ng IPsec Policy, at MS08-50, na nagbubungkal ng isang depekto sa Messenger.

Kahit na ang Microsoft ay hindi nag-rate ng mga bahid na nagbibigay-daan para sa pagsisiwalat ng impormasyon bilang kritikal, ang kahinaan ng IPsec, na maaaring i-on kung ano ang itinuturing ng mga tao na mapagkakatiwalaang naka-encrypt na tunnels ng impormasyon sa mga bukas na komunikasyon ng teksto, ay maaaring maging para sa ilang mga kumpanya na gumagamit ng IPsec nang husto upang ilipat ang mga kritikal na data, tulad ng mga organisasyon ng pangangalagang pangkalusugan na nagtatrabaho sa kumpidensyal na impormasyon ng pasyente, Sinabi ni Leatham. ay hindi inirerekomenda ang kahinaan ng Messenger bilang kritikal dahil ito lamang deal sa pagsisiwalat ng impormasyon; gayunpaman, binubuksan nito ang pagkakataon para sa isang "pag-atake sa sosyal-engineering na hindi pa natin nakikita" at dapat na seryoso, sabi ni Amol Sarwate, tagapangasiwa ng lab ng pananaliksik sa mga kahinaan sa Qualys. Ang Qualys, na nakabase sa Redwood Shores, California, ay nagbibigay ng mga serbisyo sa pangangasiwa at pamamahala ng patakaran.

"Pinapayagan nito ang mga sumasalakay na mag-imbita ng mga tao para sa audio o video conferencing sa pamamagitan ng pagpapanggap sa isang biktima," sabi niya, na sinasabi na ito ay isang zero-day na kahinaan.

Huling Huwebes Sinabi ni Microsoft na inilabas nito ang 12 update ng seguridad sa Martes bilang bahagi ng kanyang buwanang patch cycle, na tinatawag na Patch Martes sa pamamagitan ng mga mananaliksik ng seguridad, ngunit sa huling minuto na hinila ang isa sa mga update dahil sa mga isyu sa kalidad, sinabi ng kumpanya.

Microsoft ay hindi nagbibigay ng karagdagang impormasyon kung at kailan ito ay pakawalan ang update; Gayunpaman, kapag ang mga pag-update ay nakuha sa huling minuto bago, karaniwan nang inilabas ito bilang bahagi ng ikot ng patch sa susunod na buwan.

Gayundin ang mga bagay na kumplikado sa buwan na ito ay isang kamakailang seguridad na payo at patch na ipinadala sa Microsoft para sa tool na ginagamit ng maraming kumpanya upang ayusin ang mga aplikasyon ng Microsoft, Mga Serbisyo sa Pag-update ng Windows Server, sinabi ni Leatham. Sinabi niya na tinitiyak ng mga kumpanya na i-update nila ang tool at patunayan na ito ay gumagana nang maayos bago i-install ang mga patch ng Agosto.

"Nagkaroon ng isang kakaibang bug na nagiging sanhi ng ilang mga patches sa seguridad na hindi dapat i-deploy sa mga lugar ng mga organisasyon," sabi ni Leatham. "Gusto mong siguraduhin na ang iyong WSUS server ay na-patched" bago mag-install ng isa pang round ng mga update.