Microsoft rushes Explorer 8 patch release

Bare 11 dager etter at du har gitt en rådgivning, har Microsoft gitt ut en oppdatering for en feil i Internet Explorer 8 som bedeviled US Department of Labor tidligere denne måneden.

Microsofts hurtige utgivelse av denne oppdateringen " er et glimrende eksempel på Microsofts lydhør overfor sikkerhetssamfunnet og deres brukere, "skrev Andrew Storms, direktør for sikkerhet for operasjoner for sikkerhetsprogramvareleverandøren Tripwire, i en e-postoppsigelse.

Denne IE8 sikkerhetsbulletinen (MS13-038) er en av 10 som Microsoft utgitt tirsdag som en del av sin "Patch Tuesday" -utgivelse av feilrettinger og sikkerhetsbulletiner som selskapet rutinemessig utsteder på den andre tirsdag i hver måned.

[Videre lesing: Hvordan fjerne malwar e fra din Windows-PC]

Microsoft markerte MS13-038 som kritisk, og selskapet, sammen med andre sikkerhetsfirmaer, anbefaler de som fortsatt kjører IE8 for å søke om rettelsen umiddelbart. Ved å bruke en endret arbeidsdepartementets nettside, brukte angripere dette sikkerhetsproblemet i et forsøk på å installere skadelig kode på hvilken som helst besøkende maskin som kjører IE8. Microsoft utstedte en midlertidig løsning for dette sikkerhetsproblemet i forrige uke.

Den andre kritiske bulletin, MS13-037, påvirker også Internet Explorer. Denne oppdateringen løser 11 problemer som ville ha gjort det enkelt å injisere skadelig kode i nettleseren fra en spesialdesignet nettside, slik at brukeren kan ta kontroll over en datamaskin. Oppdateringen dekker PWN2Own-sårbarheten, som ble oppgradert tidligere i år.

De som kjører Windows Server 2012, bør ta en umiddelbar titt på MS MS13-039. Denne oppdateringen løser et sikkerhetsproblem i Microsoft Web IIS (Internett-informasjonstjenester) som kan brukes i DoS-angrep ved hjelp av en HTTP-pakke. Fordi det ville være relativt enkelt å lage et angrep ved hjelp av dette sikkerhetsproblemet, bør organisasjoner bruke denne oppdateringen så snart som mulig, fordi utnytninger basert på dette sikkerhetsproblemet kan begynne å vises på så lite som noen få uker, ifølge Tripwire.

Ross Barrett, senioransvarlig for sikkerhetsteknikk hos sikkerhetsfirmaet Rapid7, skrev i en uttalelse at "mens DoS-angrep generelt betraktes som andre (eller tredje) nivå i forhold til risiko, kan dette potensielt være svært forstyrrende for en organisasjon, siden mange eksterne tjenester og Active Directory-integrasjoner er avhengige av http.sys, "som er nettverkssystemet som brukes av IIS.

En" vellykket utnyttelse av denne feilen kan få alvorlige konsekvenser for offentlige webservere uten noen form for inline [innbruddssystemet] foran dem. I hovedsak kan enhver bruker starte et enkelt angrep, og serveren vil i hovedsak være offline, "bemerket Storms. Han bemerket også at en kopi av Microsoft Server 2012 - ikke bare de som fungerer som webservere - kan kjøre IIS, for eksempel en server for Microsoft Exchange eller SharePoint.

De syv gjenværende bulletinerne - ingen kritiske, men alle anses viktige adresser bugs i Microsofts Lync, Publisher, Word, Visio, Windows Essentials,.Net og Windows-kjernen.