Microsoft Patches Kritisk MP3-feil

Dagens Patch Tuesday fixes fra Microsoft inkluderer seks kritiske bulletiner som tar av potensielle angrep som involverer forgiftede mediefiler og websider, sammen med trådløse og TCP / IP-sikkerhetshull. En FTP-feil under angrep forblir ufiksert.

To patcher, MS09-045 og MS09-046, fikser sårbarheter som kan tillate at angrepskoden er skjult på en nettside for å kjøre en kommando på en sårbar datamaskin. Den første kaster opp flere versjoner av JScript Scripting Engine og er kritisk for Windows 2000, XP, Server 2003, Vista og Server 2008 (unntatt Windows Server R2 for x64 og Itanium-systemer). Den andre lukker et hull i DHTML Editing Component ActiveX-kontrollen, og regnes som kritisk for Windows 2000 og XP, og moderat for Windows Server 2003. Windows Vista og Server 2008 påvirkes ikke av ActiveX-feilen.

En tredje bulletin adresserer et kritisk hull i Windows Media Format som kan overføre kontrollen av en sårbar PC hvis du ser en forgiftet.mp3,.wma eller.wmv mediefil, ifølge Symantec. MS09-047-oppdateringen er kritisk for mange kombinasjoner av Windows Media Format Runtime eller Windows Media Services i Windows 2000, XP, Server 2003, Vista og Server 2008. Microsofts bulletin viser hele spekteret av mulige OS- og programvarekombinasjoner, men Itanium- baserte systemer som kjører enten Windows Server 2003 med SP2 eller Server 2008, er ikke sårbare.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Fjerde kommer en løsning for potensielle angrep over nettverket ved hjelp av ondsinnet TCP / IP pakker. En brannmur vil redusere risikoen ved å blokkere TCP / IP-pakker fra ukjente Internett-kilder. MS09-048-bulletinen er avgjørende for Windows Vista og Server 2008-systemene, som kan bli overført av et vellykket angrep. Feilen er bare vurdert som viktig for Windows Server 2003 og Windows 2000, da et angrep mot disse operativsystemet sannsynligvis bare ville føre til et krasj. Det er imidlertid ingen patch tilgjengelig for Windows 2000 - Microsoft sier at en løsning vil kreve å omforme store deler av operativsystemet og er "ugjennomtrengelig".

Den endelige kritiske oppdateringen korrigerer et problem med Wireless Lan AutoConfig-tjenesten som kan tillate spesielt utformet angrepspakker sendt over en trådløs tilkobling for å overta sårbare Windows Vista og Server 2008-maskiner. Andre versjoner av Windows påvirkes ikke, og alle datamaskiner uten et trådløst kort er selvfølgelig trygt. MS09-049-bulletinen viser flere detaljer.

IT-administratorer bør merke seg at et tidligere rapportert sikkerhetshull i FTP-komponenten til Microsoft Internet Information Service ikke ble løst i denne måneds patch-batch. Hullet er angivelig under aktivt angrep, så on-the-ball admins bør sjekke listen over løsninger i Microsofts technet post.