Kailangang Magkaroon ng Mga Pag-aayos sa Seguridad para sa IE7, Mga Server ng Microsoft

Ang buwanang patch batch ngayong araw mula sa Microsoft ay nag-aayos ng isang kritikal na depekto sa Internet Explorer 7 na maaaring pahintulutan ang isang malisyosong Web site na mag-install ng malware sa isang mahina PC, kasama ang isang patch para sa Visio diagram software. Ang mga negosyo na nagpapatakbo ng isang Microsoft Exchange o SQL server ay nais na mag-aplay ng mga mahahalagang pag-aayos kaagad.

Ang bulletin ng Microsoft ay nagsasabi na ang pag-atake ng code na nagta-target sa MS09-002 IE7 flaw "ay maaaring gawing madali," kaya siguraduhin na makuha mo ang isang ito sa pamamagitan ng Pag-update ng Windows. Ang mga post ng Internet Storm Center ay wala pang mga kilalang atake, ngunit nakakaapekto ito sa parehong XP at Vista. Ngunit tanging ang IE7, nang kawili-wili, at hindi paunang mga bersyon ng browser.

Makikita mo rin ang isang pag-aayos para sa Visio software na maaaring magpahintulot sa isang magsasalakay na magpatakbo ng anumang utos kung bubuksan mo ang isang na-hack na Visio file. Ang programa ay popular sa mga tagapangasiwa ng network at server na kadalasan ay may malalaking pahintulot sa kanilang mga network, kaya hindi ako magulat na makita ang isang naka-target na atake na nanggagaling na napupunta pagkatapos ng kapintasan na ito. Kumuha ng higit pang impormasyon at ang patch mula sa MS09-005 bulletin.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang iba pang dalawang pag-aayos ay para sa mga server - Exchange at SQL server. Nagkaroon ng pagsasamantala code out doon para sa SQL server kapintasan mula noong Disyembre, ayon sa ISC, kaya kung mayroon kang isang pampublikong access SQL server sa iyong kumpanya (sa pamamagitan ng isang Web site) iskedyul ng isang emergency fix upang maiwasan ang isang SQL iniksyon o iba pang mga atake. Kumuha ng mga detalye sa pahina ng MS09-004.

Gawin ang parehong para sa iyong kumpanya Exchange server, na maaaring makuha sa pamamagitan ng isang espesyal na crafted TNEF mensahe ipinadala sa ito sa pamamagitan ng isang pag-atake. Walang kilala na pag-atake laban sa isang ito pa lamang, ayon sa ISC, ngunit huwag maghintay para sa isa na magpapakita. Ang isa sa mga ito ay MS09-003.

Update: Tungkol sa MS09-004 SQL server kahinaan, Microsoft says na habang ang kapintasan ay maaaring naka-target matapos ang isang matagumpay na SQL iniksyon atake, ang MS09-004 lamat ay hindi mismo isang SQL sakit na iniksyon.