Microsoft תיקון יום שלישי: עדכון קריטי עבור IE

היום היה תיקון סופי של מיקרוסופט יום שלישי 2009. מיקרוסופט פרסמה סך של שישה עלוני אבטחה חדשים, דחוף ביותר אחד המשפיע על ליקוי יום אפס ב- Internet Explorer שעבורו לנצל קוד כבר קיים. > מניעת כל בעיות אבטחה דחופות או ניצול מחזורי בטבע כדי לאלץ עדכון out-of-band, המספר הכולל של עלוני האבטחה לשנת 2009 הוא 74 - ירידה של 5% מתוך 78 עלוני האבטחה שפורסמו בשנת 2008.

דיל עם MS09-072 ראשון

[לקריאה נוספת: הטריקים הטובים ביותר שלנו ב- Windows 10, עצות וצביטות]

מומחים מסכימים פה אחד שעלון האבטחה MS09-072, הכולל את עדכון האבטחה המצטבר עבור Internet Explorer, התיקון הדחוף ביותר שפורסם על ידי מיקרוסופט היום

אנדרו סטורמס, מנהל פעולות אבטחה עבור nCircle, אמר בהודעת דוא"ל "ציפוי החדשות של היום ממיקרוסופט הוא תיקון עבור באגים קריטיים יום אפס ב- Internet Explorer. הפגיעות הפכה להיות דאגה ביטחונית עליונה למשתמשים כאשר קוד ניצול הפך לציבורי. בהכרה באופי הקריטי של הבעיה, מיקרוסופט עשתה את התיקון בראש סדר העדיפויות, והעבירה אותו תוך שבועיים בערך. "

מומחה אבטחה נוסף של nCircle, מהנדס האבטחה הבכיר טיילר רגולי, הסכים כי" מספר אחד ברשימת המכות של כולם היום צריך להיות MS09-072, תיקון IE, שכן זה כולל תיקון של הפגיעות הנוכחית IE 0 יום. תיקון IE הוא תמיד קריטי אבל בהתחשב הניצול הציבורי, זה צריך להיות תוקנו מהר ככל האפשר.

דיברתי עם אמול סרוואט, מנהל מעבדי המחקר Qualys Vulnerabilities, אשר סיכם את זה "MS09-072 הוא בהחלט דחוף ביותר. הפגיעות פורסמה לפני שלושה שבועות, ולתוקפים היו שלושה שבועות לעבוד עם ההוכחה של המושג ולפתח ניצול מעשי, אם אתה יכול לעשות רק תיקון אחד, לעשות את זה. "

Reguly אמר כי מעבר MS09 -072 את שאר עלוני האבטחה של היום הם מעין מחית אקראית של תיקונים. הם מכילים את רוב האלפבית ואת מספר ראשי תיבות, המשפיעים על LSASS, ADFS ו- IAS. בתור התחלה, אבל אין שום דבר דחוף בעת תיקון Internet Explorer. ממליץ כי ארגונים ייקחו את הזמן כדי לבדוק כראוי את התיקונים הנותרים לפני הפריסה.

Internet Explorer Fail

ייתכן שלא שמתם לב, אך "עדכון מצטבר עבור Internet Explorer" הוא מקבע קבוע ברשימת החודשי של עלוני האבטחה ממיקרוסופט, ועד כמה שאני זוכר הוא תמיד מדורג כמו קריטי. ככל שיישומים ושירותים נוספים יופעלו ישירות מהענן, דפדפן האינטרנט יהפוך עוד יותר לעקב אכילס.

שוחחתי עם קצין הטכנולוגיה הראשי של Qualys וולפגנג קנדק, שציין כי אחוז ניכר של לקוחות Qualys עדיין מסתמכים על האינטרנט סייר 6. הוא הציע כי רוב החולשות מתמודדים ניתן לבטל על ידי פשוט אימוץ של Internet Explorer 8.

nCircle של סטורמס 'נקודות, עם זאת, כי "קוד מאובטח של מיקרוסופט שיטות פיתוח הולכים לבוא תחת בדיקה שוב כי IE של היום העדכון כולל תיקונים עבור שני ניצולים שלא היו ציבוריים בעבר, שמשפיעים רק על IE8, הדפדפן החדש ביותר של מיקרוסופט. "

סטורמס" מפורט "אין שום דרך עבור מיקרוסופט כדי למנוע את ההשערות כי באגים אלה היו צריכים להימצא במהלך פיתוח תוכנה אבל המציאות היא שזה היה חייב לקרות.כל מוצר יש באגים ותכונות יותר משטחים לתקוף יותר. "

אל תגרור את העצמי למטה

קנדק מרגיש כי מיקרוסופט מתמקדת בחומרה ב- Windows 7 וברצונה לשמור על העיניים שלה ועל היזמים שלה בעתיד, אבל לא ניתן להתעלם מהבסיס המסיבי של התקנות Windows XP. כמו מיקרוסופט אולי רוצה ללכת רחוק לתמוך במערכת ההפעלה מדור קודם, Windows XP עדיין יהיה בסביבה במשך זמן מה.

הערך שלה לציין כי Windows 7 לא הושפע ישירות על ידי כל אחד 12 עלוני אבטחה שפורסמו מאז זה פגע ברחובות. Windows 7 מושפע באופן פריורי מהבעיות של Internet Explorer שנדונו ב- MS09-072, וישנו את החיפושים המתמשכים על מה שגורם למסך המוות השחור המסתורי, אך עדיין לא הוכחנו פגמים של Windows 7.

בסך הכל, Internet Explorer 6 הוא כמו גבינה שוויצרית בהשוואה ל- IE8 מנקודת מבט ביטחונית. זה גם סיוט עבור מנהלי רשת ומשתמשים המנסים לעשות דברים כמו להציג דפי אינטרנט. דוח האבטחה האחרון של Microsoft הראה ש- Windows XP נמצא בסיכון גבוה ב -75% מאשר Windows 7. <

כחלש בהשוואה לשני המוצרים האלה בהשוואה למקבילים המודרניים יותר שלהם, ארגונים רבים עדיין מסתמכים עליהם. ארגונים אלה צריכים לבחון שוב את Windows 7 ואת Internet Explorer 8 ואת החיסכון הפוטנציאלי במונחים של תמיכה.

שימוש ב- Windows XP וב- Internet Explorer 6 ולאחר מכן להתלונן על האבטחה של מוצרי מיקרוסופט הוא כמו נהיגה במכונית שלך סביב גרירת סירה עוגן ולאחר מכן להתלונן כי אתה מקבל קילומטראז דלק גרוע.

טוני ברדלי טוויטים כמו

@PCSecurityNews, והוא יכול להיות קשר ב דף הפייסבוק