Patch Tuesday: Sikkerhet Fokus som Microsoft, Oracle Patch Bugs

Det er mor til alle oppdateringsdager for bedriftens IT-butikker, med både Microsoft og Oracle utgitt kritiske programvareoppdateringer tirsdag.

Microsoft slått av tirsdag morgen med 11 sikkerhetsoppdateringer, inkludert reparasjoner for kritiske sikkerhetsbuller i Windows Active Directory, Internet Explorer, Excel og Microsoft Host Integration Server, som integrerer Windows-datamaskiner med IBM mainframes.

Sikkerhetseksperter sier at oppdateringen til Internet Explorer, som løser seks feil i nettleseren, er den som skal se. Det er fordi det er kritisk for brukere av Internet Explorer 6 som kjører Windows XP - en svært vanlig konfigurasjon i bedriften.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Men kunder som kjører Windows Active Katalog på eldre Windows 2000-maskiner bør flytte MS08-060 Active Directory-oppdateringen til toppen av patch-køen, sier Don Leatham, en direktør for løsninger og strategi ved Lumension Security. Fordi en Active Directory-server kan brukes til å angi tillatelser på andre maskiner og administrere brukere på nettverket, vil overtakelsen av denne maskinen "være den hellige gral for noen som prøver å komme inn i et selskap og forstyrre det helt," sa han. > Normalt blir Active Directory-servere blokkert ved brannmuren, noe som betyr at en angriper sannsynligvis må være på et internt nettverk for å kunne takle et angrep, sier Eric Schultze, sjefsteknolog offiser med Shavlik Technologies. Men feilen "betyr at alle interne, misfornøyde brukere kan ta full kontroll over Windows 2000-domener og domenekontrollere," sa han via direktemeldinger.

Mitigating denne bekymringen er imidlertid at Microsoft ikke har rapportert at dette Sårbarhet har blitt utnyttet i et angrep. Selv om det er sannsynlig at en angriper kan krasje Windows 2000-maskinen ved å utnytte denne feilen, er det vanskelig å skape fungerende utnyttningskode for å utnytte ekstern kjøring av kode, sier Microsoft i et notat på sitt nettsted.

Totalt 20 sikkerhetsbuller ble løst i Microsofts 11 oppdateringer. Det var også seks mindre kritiske oppdateringer, som var "viktig" av Microsoft, for ulike Windows-komponenter, og en "moderat" patch som løser en feil som kan gi en angriper-informasjon fra en Office-bruker.

Oracles sikkerhetsoppdateringer, forventet klokken 13.00 Stillehavet, vil inkludere reparasjoner for 36 feil i en rekke Oracle-produkter, inkludert selskapets flaggskipdatabase, applikasjonsserver, e-business suite og weblogg-server og utviklingsverktøy. Bug-fixes er også planlagt for selskapets JD Edwards og PeopleSoft-produkter.

Det er uvanlig at både Microsoft og Oracle skyver ut patcher samme dag. Microsofts sikkerhetsoppdateringer kommer ut den andre tirsdag i hver måned, kjent som Patch Tuesday i bransjen. Men Orakes patcher er kvartalsvis avtalt, levert på tirsdag nærmest midten av måneden. Vanligvis setter Oracle-patchene den tredje tirsdag i måneden, men denne måneden samsvarte Microsoft og Oracle-utgivelsesdatoer.

Tirsdagens Microsoft-oppdateringer kom med litt mer informasjon til selskapets kunder også. De inkluderte en ny seksjon kalt "Utnyttbarhetsindeksen", som er laget for å gjøre det enklere for Windows-brukere å finne ut hvilke feil det mest sannsynlig vil bli utnyttet av hackere.

Microsoft har nå vurdert alle sikkerhetsoppdateringene med følgende beskrivelser: "Konsekvent brukskode Sannsynlig", "Inkonsekvent brukskode Sannsynlig" eller "Fungerende Utnyttelseskode Usannsynlig."

Selskapet sa at brukskoden var sannsynlig for feil i den kritiske Internet Explorer, Microsoft Host Integration Server og Excel-oppdateringer. En av Internet Explorer-feilene, som kan la en angriper få forhøyede rettigheter på en Windows-maskin, har allerede blitt offentliggjort, men det er ikke antatt å ha blitt brukt i virkelige angrep, sa Microsoft.

En annen først: Microsoft ga visse sikkerhetspartnere tidlig tilgang til oppdateringene denne måneden, slik at de kunne rulle angrepssporing inn i programvaren da patchene ble utgitt tirsdag.