Microsoft Readies Emergency IE Patch

Kumuha ng Microsoft ang hindi pangkaraniwang hakbang ang rushing out ng dalawang emergency security patches bago ang regular na naka-iskedyul na mga pag-update nito sa Agosto 11.

Ang mga patch ay magsasama ng isang kritikal na pag-aayos para sa Internet Explorer pati na rin ang kaugnay na Visual Studio patch na pinangalanang "moderate" urgency ng Microsoft. Ang Internet Explorer bulletin ay magbibigay ng mga pagtatanggol-malalim na mga pagbabago sa Internet Explorer upang makatulong na magbigay ng karagdagang proteksyon para sa mga isyu na hinarap ng Visual Studio bulletin, "sinabi ng Microsoft sa isang blog na nagpapalabas ng huling Biyernes.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang mga patches ay nakatakda na ilalabas sa Martes sa 10 am West coast time.

Hindi sinabi ng Microsoft kung ano talaga ang pag-aayos nito. Ang kumpanya ay karaniwang hindi nagmamadali sa mga "out-of-band" na mga update sa emergency maliban kung ang bug ay pinagsamantalahan ng mga cybercriminal; Gayunpaman, sa kasong ito ang mga flaws na patched ay hindi leveraged sa pag-atake, ayon sa Microsoft.

Ang problema ay lumilitaw sa kasinungalingan sa isang malawak na ginagamit na bahagi ng Windows na tinatawag na Active Template Template (ATL). Ayon sa tagapagpananaliksik ng seguridad na Halvar Flake, ang kapintasan na ito ay sinisisi din para sa isang bug ActiveX na tinukoy ng Microsoft nang mas maaga sa buwan na ito. Nagbigay ang Microsoft ng isang kill-bit patch para sa problema noong Hulyo 14, ngunit pagkatapos ng pagtingin sa bug, tinukoy ng Flake na ang patch ay hindi nag-aayos ng kahinaan sa kalakip na, kaya ang mga bagong pag-atake ay posible.

Anuman ang isyu, ang bagong patch dapat maging isang pangunahing priyoridad para sa IT staff sa susunod na linggo. "Kapag ang Microsoft ay pumupunta sa isang patch ng out-of-band, sa tingin ko ito ay makabuluhang para sa mga tao na mag-aplay ito," sabi Roger Thompson, chief research officer na may AVG Technologies.

Microsoft ay hindi magbigay ng isang dahilan para sa rushed update ngunit maaaring sinusubukan na manatiling maaga sa anumang pampublikong pagsisiwalat sa kumperensya ng seguridad sa Black Hat sa susunod na linggo sa Las Vegas. Ang mga pag-update sa emerhensiya ay inilabas na araw bago ang Black Hat Briefings, kung saan ang mga mananaliksik na si Mark Dowd, Ryan Smith, at si David Dewey ay magsasalita tungkol sa mga isyu sa seguridad sa browser.

Ayon sa mga eksperto sa seguridad, libu-libong mga Web site ang ginamit sa maglunsad ng on-line na mga pag-atake na pagsasamantalahan ang kahinaan ng ActiveX na na-patched noong Hulyo. Ang lamat ay unang iniulat sa Microsoft higit sa isang taon na ang nakakaraan.