Zap Zero-Day IE Angrepet før det kommer til deg

Jeg føler noen nostalgi mens jeg skriver denne kolonnen fordi etter å ha puttet Bugs & Fixes i åtte og et halvt år - 102 kolonner totalt - det er på tide å signere meg av. Jeg har enormt likte å skrive for deg gjennom alle de årene, og jeg er takknemlig for at PC World ga meg muligheten til å gjøre det.

Jeg har alltid hatt to mål i tankene: å hjelpe deg avverge nåværende trusler, og gi nyttig informasjon om hvordan sikkerhetshull og angrep på dem fungerer, så du vil være bedre forberedt på å håndtere fremtidige problemer. Jeg håper at jeg i det minste har oppfylt ånden til disse målene. Nå som min pappa tilbake i Montana pleide å si: "Nuff sa."

Bugsene fortsetter å marsje sammen, og denne måneden er ikke noe unntak. La oss starte med Microsoft.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Til tross for nylig patching flere feil - inkludert 23 kritiske sårbarheter - enn den har på noen annen enkelt tid de siste fem årene, Selskapet ble blindsided av en tidligere ukjent feil i alle støttede versjoner av Internet Explorer (inkludert IE 8 Beta 2).

Denne bugen skapte raskt en bølge av nulldagsangrep på nettet, som dårlige slått på nettet før Microsoft hadde uttalt noen patch eller løsning for det.

Feilen påvirker en nøkkelfunksjon som kalles "data-binding" som IE bygger på i håndtering av et webspråk som kalles XML; hullet innebærer at det ikke er nødvendig å frigjøre minne på riktig måte når det ikke lenger er nødvendig.

Et skadelig program kan utnytte feilen ved å laste sin egen kode i overskuddsminnet for å overta PCen. Hvis du besøkte et booby-fanget område eller klikket på en forgiftet kobling i en e-post, ville ikke engang sette sikkerhetsnivåene i IE for maksimalt ha stoppet det.

Microsofts utviklere sprang ut en løsning for å plugge hullet, men innsats tok en uke; mens angrepene spredte seg. Ikke ta meg feil: Hammering ut en stor korrigering på bare åtte dager er ingen liten prestasjon. Og Microsoft anerkjente at trusselen var skummel nok til å rettferdiggjøre å frigjøre lappens "out-of-cycle", i stedet for å vente på den neste "Patch Tuesday". Da det trengte å få lappen ut pronto, gjorde Microsoft ikke tilby IE-løsningen som en "kumulativ oppdatering." Det er en indikasjon på hvor farlig Microsofts sikkerhetsgruppe vurderte denne feilen.

Siden angrepene har skjedd "i naturen", oppfordrer Microsoft deg til å få oppdateringen ASAP (hvis du ikke har automatiske oppdateringer aktivert) fra Microsofts sikkerhetsbulletin MS08-078-side.

Flere Microsoft-feil

Hva med de andre 23 kritiske feilene? Jeg kan ikke dekke dem alle her, men disse er de som synes mest viktige:

Før nolldagsangrepene slo, løste Microsoft en kumulativ oppdatering for IE som fikserer fire kritiske hull i IE-versjoner 5.01 (på Windows 2000 SP4) opp gjennom IE7 (på Vista SP1). Flere av svakhetene er teknisk lik nullstansangrepshullet.

I motsetning til Microsofts utilsiktede patch har ingen av de 23 sårbarhetene blitt angrepet ennå. Som vanlig, vær nøye med å holde oppdateringene oppdatert. Klikk over til Microsofts sikkerhetsbulletin MS08-073 for mer info og for en kobling til oppdateringene. Microsoft lappte også to hull i Windows 'grafikkgrensesnitt, som lar programmer vise tekst og grafikk i Windows Metafile-formatet, et filformat som vanligvis brukes til linjekunst, illustrasjoner og presentasjoner. Du kan kanskje tro at du laster et bilde når du i realiteten allerede har blitt kompromittert. Som vanlig, for å bli angrepet, er alt du trenger å gjøre, å besøke et ondsinnet nettsted eller klikke på en link til det i en e -mail.

Hvis du ikke allerede får oppdateringer automatisk, kan du se Microsofts sikkerhetsbulletin MS08-071 for mer informasjon og en kobling til oppdateringen.

To flere hull - denne gangen i Windows Søk etter Windows Vista- - kan resultere i fullstendig tap av kontroll over PCen din. Som IE-feilen, åpner et av hullene i søk seg selv når det forsøker å frigjøre tidligere brukt minne. Vista har en funksjon kalt Windows Search som indekserer systemet ditt for å gi raskere søkeresultater, og for å la deg lagre søk etter gjenbruk senere. Låten som en av feilene bruker, er å indusere deg til å åpne og lagre en rigget søkefil ved å følge en skjult link i en e-post eller på et booby-fanget nettsted. Alle stikkontakter som fortsatt bruker Windows XP, er trygge. Bare Vista-systemer (inkludert SP1 og SP2 Beta) er i fare. Få mer informasjon fra Microsofts sikkerhetsbulletin MS08-075.

Som de sier på TV: Men vent, det er mer! Microsoft patched også en rekke feil i Office, inkludert en kritisk feil som berører Word 2007. Les mer om alle disse feilene og deres oppdateringer på Microsoft Security Bulletin-sammendragssiden for desember 2008.

Killing Off Firefox 2

The De siste nulldagsangrepene har bedt noen pundits om å forny deres anbefaling om at IE-brukere endrer seg til Firefox. Selv om jeg ikke er uenig med det rådet, vil hackere sannsynligvis være mer oppmerksom på Firefox - og dermed finne flere hull i det - da det får markedsandel mot IE.

For å holde Firefox sikkert, vil folkene på Mozilla har samlet en ny oppdatering for nettleseren som lapper en serie sikkerhetshull, flere av dem er kritiske. En feil bor i nettleserens gjenopprettingsfunksjon. Andre kan la en angriper dra nytte av hull i Firefoxs JavaScript (en populær webprogrammeringsspråk) -motor for å la en angriper overta PCen.

Denne utgaven - Firefox 2.0.0.20 - blir den endelige sikkerhetsoppdateringen for Firefox 2-linje, Mozilla-tjenestemenn annonsert i et blogginnlegg. Hvorfor? Det er fornuftig å støtte en enkelt kodebase, så Mozilla oppfordrer brukerne til å flytte til Firefox 3 (for øyeblikket på versjon 3.0.5). Åtte av de nye oppdateringene gjelder både versjon 2 og versjon 3.

Hvis du ikke allerede har oppdateringen installert via Firefox automatisk oppdateringsfunksjon, kan du hente den på Mozilla Firefox nedlastingsside. Fra nettleseren velger du

Hjelp, Søk etter oppdateringer. Det er det for meg. Jeg håper å se deg igjen en gang, lengre nedover superhighway-informasjonen.