Feil og reparasjoner: En sjelden beredskapsfeil fra Microsoft

Microsoft har kanskje følt seg som den lille hollandske gutten den siste måneden, plugger hull med vanlige patcher og med sjeldne utilsiktede feilrettinger i et forsøk på å hindre at angripere løper gjennom.

Utdateringsprogrammet, kritisk for alle versjoner av Internet Explorer 2000, XP og Vista, adresserer IEs håndtering av feil ActiveX-kontroller som er opprettet med Microsoft Active Template Library ATL), et utviklingsverktøy som er inkludert i Visual Studio. Risiko-PCer kan bli rammet av et kjøre-for-nedlasting angrep. Dette alvorlige sikkerhetsproblemet påvirker mange ActiveX-kontroller. For eksempel bekreftet Adobe på sitt sikkerhetsområde at dets Shockwave og Flash Player ActiveX kontrollerer "utnytte sårbare versjoner av ATL," og at den jobber med en løsning. Problemet påvirker også IE på Windows Server 2003 og 2008, men er vurdert moderat alvorlig på de operativsystemene.

Zero-Day Fixes

Microsofts vanlige Patch Tuesday-utgave lukkede mange andre hull, inkludert en nulldag feil som hadde vært under angrep og involvert en ActiveX-kontroll som brukes av Microsoft Video. Selv om lappen deaktiverte kontrollen, som ikke fungerte som et legitimt formål, klarte det ikke å korrigere den underliggende feilen. Fiksingen, kritisk for Windows XP og moderat for Windows Server 2003, påvirker ikke Windows 2000, Vista eller Server 2008.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

En annen reparasjon stoppet angrep på Microsoft DirectShows behandling av QuickTime-innhold. Angrepene, som ikke var avhengig av at Apples QuickTime ble installert, kan utløse hvis et offer åpnet eller forhåndsvises en forgiftet QuickTime-fil. DirectX 7, 8.1 og 9.0 på Windows 2000 trenger reparasjonen, slik som DirectX 9.0 på XP og Server 2003. Vista og Server 2008 får et pass.

Andre kritiske reparasjoner adresserte hull i hvordan alle støttede versjoner av Windows håndterer skrifter i Websider, e-post og Office-dokumenter. Feilene i Embedded OpenType Font Engine hadde ikke blitt angrepet før patch-utgivelsen, men de er doozies.

En alvorlig feil i Microsoft Office Web Components innebærer et ActiveX-problem som tillater angrep på IE-brukere. Et bredt spekter av Office-komponenter og versjoner trenger reparasjonen; for den komplette listen over berørt programvare, se den koblede Microsoft-siden.

Du kan hente alle de nevnte reparasjonene via Windows Update.

Adobe og Firefox-patenter

Microsoft var ikke den eneste som lider av null -dagsrisiko i løpet av den siste måneden. Adobe, et annet populært mål, utgav rettelser for Flash (på alle plattformer), samt for Reader, Air og Acrobat, etter rapporter om angrep som brukte forgiftede PDF-filer for å utnytte Flash-feil. For å beskytte mot disse flerfarlige angrepene, vær sikker på å oppdatere alle dine Adobe-apper. Ta Flash versjon 10.0.32.18 og den nyeste Air på Adobes nettsted. For Reader, oppdater til versjon 9.1.3 ved å åpne programmet og velge Verktøy, Sjekk etter oppdateringer. Se Adobes sikkerhetsbulletin for koblinger til Acrobat-oppdateringer for Mac og Windows, sammen med flere detaljer.

For å pakke opp dine målinger, bør Firefox-brukere oppgradere til den nyeste tilgjengelige versjonen for å bruke flere rettelser for ulike hull i versjoner 3 og 3.5, inkludert en alvorlig feil i 3.5-håndtering av JavaScript, samt et problem som påvirker Firefox 3s bruk av SSL-sertifikater for å kryptere sikre nettforbindelser (3.5 var allerede trygt fra den feilen). Klikk på Hjelp, Søk etter oppdateringer for å bekrefte at du har den nyeste versjonen. Og hvis du fortsatt er i versjon 3, kan du gå til Firefox-siden for å laste ned 3.5; Det er en relativt smertefri oppgradering.