Microsoft rushes Explorer 8 patch release

Makalipas ang 11 na araw pagkatapos mag-isyu ng isang advisory, ang Microsoft ay naglabas ng isang patch para sa isang bug sa Internet Explorer 8 na nag-aaksaya sa Kagawaran ng Paggawa ng US nang mas maaga ngayong buwan.

ay isang natitirang halimbawa ng kakayahang tumugon ng Microsoft sa komunidad ng seguridad at sa kanilang mga gumagamit, "ang isinulat ni Andrew Storms, direktor ng seguridad ng mga operasyon para sa security software provider Tripwire, sa isang pahayag ng email.

Ang IE8 security bulletin (MS13-038) ay isa ng 10 na inilabas ng Microsoft noong Martes bilang bahagi ng kanilang "Patch Tuesday" na pag-release ng mga pag-aayos ng bug at mga bulletin ng seguridad na ang kumpanya ay regular na mga isyu sa ikalawang Martes ng bawat buwan.

[Karagdagang pagbabasa: Paano tanggalin ang malwar e mula sa iyong Windows PC

Ang Microsoft ay minarkahan MS13-038 bilang kritikal at ang kumpanya, kasama ang iba pang mga firewall ng seguridad, ay nagpapayo sa mga tumatakbo pa rin sa IE8 upang agad na ilapat ang fix. Gamit ang isang binagong Web page ng Kagawaran ng Paggawa, ginagamit ng mga pag-atake ang kahinaan na ito sa pagtatangkang i-install ang malisyosong code sa machine ng anumang bisita na tumatakbo sa IE8. Nagbigay ang Microsoft ng pansamantalang pag-aayos para sa kahinaan na ito noong nakaraang linggo.

Ang iba pang kritikal na bulletin, MS13-037, ay nakakaapekto rin sa Internet Explorer. Ang update na ito ay sumasala sa 11 mga isyu na maaaring gawing madali ang pag-inject ng malisyosong code sa browser mula sa isang espesyal na ginawa Web page, na nagpapahintulot sa gumagamit na kontrolin ang isang computer. Ang update ay sumasaklaw sa PWN2Own vulnerability, unearthed earlier this year.

Ang mga tumatakbo sa Windows Server 2012 ay dapat tumagal ng agarang pagtingin sa MS MS13-039. Inaayos ng update na ito ang isang kahinaan sa Microsoft Web IIS (Internet Information Services) na magagamit sa isang Denial of Service (DoS) na atake, sa pamamagitan ng paggamit ng isang HTTP packet. Dahil medyo simple ang pag-atake ng isang pag-atake gamit ang kahinaan na ito, ang mga organisasyon ay dapat na mag-aplay sa update na ito sa lalong madaling panahon, dahil ang mga pagsasamantala batay sa kahinaan na ito ay maaaring magsimulang lumitaw bilang kasing ilang linggo, ayon sa Tripwire.

Ross Barrett, ang senior manager ng security engineering sa security firm na Rapid7, ay nagsulat sa isang pahayag na "habang ang mga pag-atake ng DoS sa pangkalahatan ay itinuturing na pangalawang (o ikatlong) tier hanggang sa panganib, ito ay maaaring potensyal na magiging lubhang nakakagambala sa isang organisasyon, dahil maraming mga remote na serbisyo at Ang mga integrasyon ng Active Directory ay umaasa sa http.sys, "kung saan ang subsystem ng networking na ginagamit ng IIS.

Ang" matagumpay na pagsasamantala ng bug na ito ay maaaring magkaroon ng malubhang implikasyon para sa mga pampublikong server sa Web nang walang ilang uri ng inline [intrusion prevention system] sa harap ng sila. Mahalaga, ang anumang user ay maaaring maglunsad ng isang simpleng pag-atake at ang server ay magiging offline, "sabi ng Bagyo. Sinabi rin niya na ang anumang kopya ng Microsoft Server 2012-hindi lamang ang mga gumana bilang mga server ng Web-ay maaaring magpatakbo ng IIS, tulad ng isang server para sa Microsoft Exchange o SharePoint.

Ang pitong natitirang mga bulletins-walang kritikal ngunit lahat ay itinuturing na mahalaga-address mga bug sa Microsoft's Lync, Publisher, Word, Visio, Windows Essentials,.Net, at ang Windows kernel.