Microsoft Patch Martes: Ang Kritikal na Pag-update para sa IE

Ngayon ay ang huling Patch ng Microsoft noong Martes ng 2009. Ang Microsoft ay naglabas ng kabuuang anim na bagong bulletins ng seguridad, ang pinaka-kagyat na nakakaapekto sa isang zero-day na pagkakamali sa Internet Explorer na umiiral na ang paggamit ng code.

Kung may anumang mga kagyat na isyu sa seguridad o pagsasamantala na nagpapalipat-lipat sa ligaw upang pilitin ang pag-update ng out-of-band, ang kabuuang bilang ng mga bulletin ng seguridad para sa 2009 ay 74 - isang 5 porsiyento na drop mula sa 78 bulletin ng seguridad na inilabas noong 2008.

Pakikitungo sa MS09-072 Una

[Karagdagang pagbabasa: Ang aming pinakamahusay na mga trick sa Windows 10, mga tip at pag-aayos]

Eksperto ay lubos na nagkakaisa na ang MS09-072 security bulletin, na kinabibilangan ng pinagsama-samang pag-update sa seguridad para sa Internet Explorer, ay sa ngayon ang pinaka-kagyat na patch na inilabas ng Microsoft ngayon.

Andrew Storms, direktor ng mga operasyon ng seguridad para sa nCircle, sinabi sa isang email na "Ang nangungunang balita ngayong araw mula sa Microsoft ay ang pag-aayos para sa isang kritikal na zero-araw na bug sa Internet Explorer. Ang kahinaan ay naging isang pangunahing pag-aalala sa seguridad para sa mga gumagamit kapag ang paggamit ng code ay naging publiko na magagamit. Bilang pagkilala sa kritikal na katangian ng problema, ginawa ng Microsoft ang pag-aayos ng isang pangunahing priyoridad at inihatid ito sa loob ng dalawang linggo. "

Ang isa pang nCircle security expert, ang senior security engineer na si Tyler Reguly, ay sumang-ayon" Number one sa hit list ng lahat ngayon. maging MS09-072, ang IE patch, dahil kasama dito ang isang patch para sa kasalukuyang IE 0-araw na kahinaan. Ang Patching IE ay laging mahalaga ngunit binigyan ng pampublikong pagsasamantala, dapat itong patched nang mabilis hangga't maaari.

Nagsalita ako sa Amol Sarwate, tagapamahala ng Qualys Vulnerabilities Research Lab, na summed up nito "Ang MS09-072 ay talagang ang pinaka-kagyat. Ang kahinaan ay ginawang pampublikong tatlong linggo na ang nakakalipas. Ang mga nag-aatake ay nagkaroon ng tatlong linggo upang magtrabaho kasama ang patunay-ng-konsepto at bumuo ng isang maayos na pagsasamantala. Kung maaari mo lamang gawin ang isang patch, gawin iyon. "

Reguly sinabi na lampas MS09 -072 ang natitirang mga bulletin ng seguridad ngayon ay uri ng isang random na mash-up ng mga pag-aayos. Kasama nila ang halos lahat ng alpabeto at isang bilang ng mga acronym, na nakakaapekto sa LSASS, ADFS, at IAS para sa mga starter.

Gayunpaman, sa grand scheme ng mga bagay, walang bagay na napakahalaga kapag na-patch mo ang Internet Explorer.

Internet Explorer Fail

Maaaring hindi mo napansin, ngunit ang "Pinagsamang Update para sa Internet Explorer" ay isang permanenteng kabit sa buwanang listahan ng mga bulletins ng seguridad mula sa Microsoft, at hangga't maaari kong pagpapabalik ito ay laging inuri bilang Kritikal. Tulad ng higit pang mga application at mga serbisyo ay tatakbo nang direkta mula sa ulap, ang Web browser ay magiging higit pa sa seguridad ng sakong Achilles.

Nagsalita ako sa chief technology officer ng Qualys na si Wolfgang Kandek na nakasaad na ang isang makabuluhang porsyento ng mga customer ng Qualys ay umaasa pa rin sa Internet Explorer 6. Iminungkahi niya na ang karamihan sa mga kahinaan na nahaharap ay maalis sa pamamagitan lamang ng pagpapatibay ng Internet Explorer 8.

Mga Bagyo ng nCircle, gayunpaman, na "ang mga kasanayan sa pag-unlad ng mga secure na code ng Microsoft ay darating sa ilalim ng masusing pagsusuri dahil sa IE ngayon update kasama ang mga pag-aayos para sa dalawang dati di-pampublikong pagsasamantala na nakakaapekto lamang sa IE8, ang pinakabagong browser mula sa Microsoft. "

Mga Bagyo 'na pinalalakas" Walang paraan para sa Microsoft na maiwasan ang haka-haka na ang mga bug na ito ay dapat natagpuan sa panahon ng pag-unlad ng software kalidad na katiyakan cycle, ngunit ang katotohanan ay na ito ay maaaring mangyari. Ang bawat produkto ay may mga bug at mas maraming mga tampok ay nangangahulugan na mas higit na pag-atake ibabaw. "

Huwag I-drag ang iyong sarili Down

Kandek nararamdaman na ang Microsoft ay matatag na nakatutok sa Windows 7 at nais na panatilihin ang mga mata nito - at mga developer - sa hinaharap, ngunit na ang napakalaking base ng Windows XP installation ay hindi maaaring hindi papansinin. Hangga't gusto ng Microsoft na lumayo mula sa pagsuporta sa legacy operating system, ang Windows XP ay mananatili pa rin sa loob ng ilang sandali.

Ito ay nagkakahalaga ng noting na ang Windows 7 ay hindi direktang apektado ng alinman sa 12 bulletins seguridad na nailabas dahil ito ay pindutin ang mga kalye. Ang Windows 7 ay apektado ng mga isyu sa Internet Explorer na tinutugunan sa MS09-072, at mayroong patuloy na paggalugad sa kung ano ang nagiging sanhi ng mahiwagang itim na screen ng kamatayan, ngunit walang nakumpirma na Windows 7 na mga pagkakamali pa rin.

Ang Internet Explorer 6 ay tulad ng swiss cheese kumpara sa IE8 mula sa isang pananaw sa seguridad. Ito rin ay isang bangungot para sa mga Web Administrator at mga gumagamit na nagsisikap na gumawa ng mga bagay tulad ng pagtingin sa mga pahina ng Web. Ang kamakailang ulat ng Microsoft Security Intelligence ay nagpakita na ang Windows XP ay 75 porsiyento na mas malamang na makompromiso kaysa sa Windows 7.

Tulad ng mahina habang ang dalawang produkto ay inihambing sa kanilang mga modernong katumbas, maraming mga organisasyon ang umaasa sa kanila. Ang mga organisasyong iyon ay dapat na isaalang-alang ang Windows 7 at Internet Explorer 8 at ang potensyal na pagtitipid sa mga tuntunin ng suporta.

Paggamit ng Windows XP at Internet Explorer 6 at pagkatapos ay nagrereklamo tungkol sa seguridad ng mga produkto ng Microsoft ay tulad ng pagmamaneho ng iyong sasakyan sa paligid ng pag-drag ng isang

Tony Bradley tweets bilang @PCSecurityNews, at maaaring makontak sa kanyang pahina ng Facebook.