Windows

Microsoft rushes Explorer 8 patch release

Microsoft Rushes to Fix Security Flaw in IE

Microsoft Rushes to Fix Security Flaw in IE
Anonim

Bare 11 dager etter at du har gitt en rådgivning, har Microsoft gitt ut en oppdatering for en feil i Internet Explorer 8 som bedeviled US Department of Labor tidligere denne måneden.

Microsofts hurtige utgivelse av denne oppdateringen " er et glimrende eksempel på Microsofts lydhør overfor sikkerhetssamfunnet og deres brukere, "skrev Andrew Storms, direktør for sikkerhet for operasjoner for sikkerhetsprogramvareleverandøren Tripwire, i en e-postoppsigelse.

Denne IE8 sikkerhetsbulletinen (MS13-038) er en av 10 som Microsoft utgitt tirsdag som en del av sin "Patch Tuesday" -utgivelse av feilrettinger og sikkerhetsbulletiner som selskapet rutinemessig utsteder på den andre tirsdag i hver måned.

[Videre lesing: Hvordan fjerne malwar e fra din Windows-PC]

Microsoft markerte MS13-038 som kritisk, og selskapet, sammen med andre sikkerhetsfirmaer, anbefaler de som fortsatt kjører IE8 for å søke om rettelsen umiddelbart. Ved å bruke en endret arbeidsdepartementets nettside, brukte angripere dette sikkerhetsproblemet i et forsøk på å installere skadelig kode på hvilken som helst besøkende maskin som kjører IE8. Microsoft utstedte en midlertidig løsning for dette sikkerhetsproblemet i forrige uke.

Den andre kritiske bulletin, MS13-037, påvirker også Internet Explorer. Denne oppdateringen løser 11 problemer som ville ha gjort det enkelt å injisere skadelig kode i nettleseren fra en spesialdesignet nettside, slik at brukeren kan ta kontroll over en datamaskin. Oppdateringen dekker PWN2Own-sårbarheten, som ble oppgradert tidligere i år.

De som kjører Windows Server 2012, bør ta en umiddelbar titt på MS MS13-039. Denne oppdateringen løser et sikkerhetsproblem i Microsoft Web IIS (Internett-informasjonstjenester) som kan brukes i DoS-angrep ved hjelp av en HTTP-pakke. Fordi det ville være relativt enkelt å lage et angrep ved hjelp av dette sikkerhetsproblemet, bør organisasjoner bruke denne oppdateringen så snart som mulig, fordi utnytninger basert på dette sikkerhetsproblemet kan begynne å vises på så lite som noen få uker, ifølge Tripwire.

Ross Barrett, senioransvarlig for sikkerhetsteknikk hos sikkerhetsfirmaet Rapid7, skrev i en uttalelse at "mens DoS-angrep generelt betraktes som andre (eller tredje) nivå i forhold til risiko, kan dette potensielt være svært forstyrrende for en organisasjon, siden mange eksterne tjenester og Active Directory-integrasjoner er avhengige av http.sys, "som er nettverkssystemet som brukes av IIS.

En" vellykket utnyttelse av denne feilen kan få alvorlige konsekvenser for offentlige webservere uten noen form for inline [innbruddssystemet] foran dem. I hovedsak kan enhver bruker starte et enkelt angrep, og serveren vil i hovedsak være offline, "bemerket Storms. Han bemerket også at en kopi av Microsoft Server 2012 - ikke bare de som fungerer som webservere - kan kjøre IIS, for eksempel en server for Microsoft Exchange eller SharePoint.

De syv gjenværende bulletinerne - ingen kritiske, men alle anses viktige adresser bugs i Microsofts Lync, Publisher, Word, Visio, Windows Essentials,.Net og Windows-kjernen.