Microsoft Patch Tuesday: Kritisk oppdatering for IE

I dag var Microsofts siste Patch tirsdag i 2009. Microsoft utgitt totalt seks nye sikkerhetsbulletiner, den mest presserende som påvirker en nulldag-feil i Internet Explorer, der det allerede eksisterer brukskode.

Uten sikkerhetsproblemer eller utbrudd som sirkulerer i naturen for å tvinge en utdatert bånd, er totalt antall sikkerhetsbulletiner for 2009 74 - en nedgang på 5 prosent fra de 78 sikkerhetsbulletinene som ble utgitt i 2008.

Deal med MS09-072 Første

[Videre lesing: Våre beste Windows 10-triks, tips og tweaks]

Eksperter er enstemmige at sikkerhetsbulletinen MS09-072, som inneholder den kumulative sikkerhetsoppdateringen for Internet Explorer, er langt den mest presserende oppdateringen utgitt av Microsoft i dag.

Andrew Storms, direktør for sikkerhetsoperasjoner for nCircle, sa i en epost "Topping dagens nyheter fra Microsoft er løsningen for en kritisk nulldagssyklus i Internet Explorer. Sårbarheten ble et toppsikkerhetsproblem for brukere når utnyttelse av koden ble offentlig tilgjengelig. I anerkjennelse av problemets kritiske karakter gjorde Microsoft fikseringen en topprioritet og leverte den om to uker. "

En annen nCircle-sikkerhetsekspert, senior sikkerhetsingeniør Tyler Reguly, ble enige om" Nummer ett på alles treff i dag bør vær MS09-072, IE-oppdateringen, da dette inkluderer en oppdatering for gjeldende IE 0-dagers sikkerhetsproblem. Patching IE er alltid avgjørende, men gitt offentlig utnyttelse, bør dette patched så raskt som mulig.

Jeg snakket med Amol Sarwate, leder av Qualys Vulnerabilities Research Lab, som oppsummerte det. "MS09-072 er definitivt den mest presserende. Sårbarheten ble offentliggjort for tre uker siden. Angrepere har hatt tre uker til å jobbe med proof-of-concept og utvikle en fungerende utnyttelse. Hvis du bare kan gjøre en patch, gjør du den. "

Reguly sa det utover MS09 -072 resten av dagens sikkerhetsbulletiner er en slags tilfeldig mash-up av feilrettinger. De involverer mesteparten av alfabetet og en rekke akronymer, som påvirker LSASS, ADFS og IAS for startere.

I det store ordningen av ting er det imidlertid ingenting som er veldig presserende når du lapper opp Internet Explorer. Reguly anbefaler at organisasjonene tar seg tid til å teste de resterende oppdateringene riktig før de distribueres.

Feilsøking av Internet Explorer

Du har kanskje ikke lagt merke til, men "Kumulativ oppdatering for Internet Explorer" er en permanent løsning på månedslisten over sikkerhetsbulletiner fra Microsoft, og så langt jeg kan huske det er alltid vurdert som kritisk. Etter hvert som flere applikasjoner og tjenester kjøres direkte fra skyen, blir nettleseren enda mer sikkerhetshackel.

Jeg snakket med Qualys sjefsteknolog, Wolfgang Kandek, som bemerket at en betydelig andel av Qualys kunder fortsatt stoler på Internett Explorer 6. Han foreslo at de fleste svakhetene som ble møtt kunne elimineres ved ganske enkelt å vedta Internet Explorer 8.

nCircle's Storms påpeker imidlertid at "Microsofts sikre kodeutviklingspraksis kommer til å bli under kontroll igjen fordi dagens IE oppdatering inkluderer reparasjoner for to tidligere ikke-offentlige bruksområder som bare påvirker IE8, den nyeste nettleseren fra Microsoft. "

Storms utdypede" Microsoft kan ikke unngå spekulasjoner om at disse feilene skulle ha blitt funnet under programvareutviklingen og kvalitetssikkerhetssyklus, men virkeligheten er at dette skulle binde. Hvert produkt har feil og flere funksjoner betyr større angrep overflater. "

Ikke dra din selv ned

Kandek mener at Microsoft er fast fokusert på Windows 7 og ønsker å beholde øynene - og utviklere - på fremtiden, men at den massive basen av Windows XP-installasjoner ikke kan ignoreres. Så mye som Microsoft kanskje vil gå bort fra å støtte det eldre operativsystemet, vil Windows XP fortsatt være rundt en stund.

Det er verdt å merke seg at Windows 7 ikke har blitt direkte påvirket av noen av de 12 sikkerhetsbulletinene som har blitt utgitt siden den traff gatene. Windows 7 er perifert påvirket av Internet Explorer-problemene adressert i MS09-072, og det går kontinuerlig utforskning av hva som forårsaker den mystiske svarte skjermen av døden, men ingen bekreftet Windows 7-feil ennå.

Generelt, skjønt, Internet Explorer 6 er som sveitsisk ost sammenlignet med IE8 fra et sikkerhetsperspektiv. Det er også et mareritt for webadministratorer og brukere som prøver å gjøre ting som å vise websider. Nylig Microsoft Security Intelligence Report viste at Windows XP er 75 prosent større sannsynlighet for å bli kompromittert enn Windows 7.

Så svakt som de to produktene sammenlignes med deres moderne modeller, stoler mange organisasjoner fortsatt på dem. Disse organisasjonene må ta en titt på Windows 7 og Internet Explorer 8 og de potensielle besparelsene når det gjelder støtte.

Bruke Windows XP og Internet Explorer 6 og deretter klage på sikkerheten til Microsoft-produkter, er som å kjøre bilen din rundt å dra en Båtanker og deretter klager på at du får dårlig bensinstrekning.

Tony Bradley tweets som @PCSecurityNews, og kan kontaktes på hans Facebook-side.