Microsoft Edge Chromium - Release For Windows And MacOS
A Microsoft hétfő este kiadott egy biztonsági tanácsadást, amely útmutatást és kerülő megoldásokat kínál az ügyfeleknek az Internet Explorer-t célzó nulla napos kizsákmányolás kezeléséhez.
A nap folyamán a vállalat azt mondta, amely a hétvégén jelent meg, amikor valaki közzétette a kizsákmányoló kódot a Bugtraq levelezési listájára. Hétfő este a Microsoft átkapcsolta a fogaskerekeket, és kiadta a tanácsadást. A biztonsági mentésről a Microsoft kiadta a 977981-es Biztonsági Tanácsadást, amely magában foglalja az olyan megoldásokat is, amelyek hibát okozhatnak a Cascading Style Sheets alkalmazásban, amelyek távoli kódfuttatást tehetnek lehetővé. A távoli kódfuttatást lehetővé tevő biztonsági rések általában a Microsoft által kritikusnak ítélt javításokat eredményeznek.
[További olvasnivalók: A rosszindulatú program eltávolítása Windows számítógépről]
A tanácsadó megerősítette, hogy a biztonsági rés hatással van az IE 6 -ra a Windows 2000 Service Pack 4, valamint IE 6 és IE 7 az XP, Vista, a Windows Server 2003 és a Windows Server 2008 támogatott kiadásaihoz. A Microsoft említett felhasználók, akik a Vista operációs rendszert futtató IE-t használják, a védett módban futtathatják a böngészőt a sebezhetőség hatásának korlátozására. Azt is javasolta, hogy az Internet zóna biztonsági beállítását "High" -re állítsuk be a kizsákmányolás ellen. A "Magas" beállítás letiltja a JavaScriptet, amely jelenleg az egyetlen megerősített támadási mód.A Microsoft szerint az IE 5.01 Service Pack 4 és az IE 8 a Windows összes támogatott verziójára nincs hatással.
a hackernek először meg kell találnia az áldozatot egy olyan weboldal meglátogatásához, amely a kizsákmányoló kódot szolgáltatta. Ez lehet egy rosszindulatú webhely, amelyet maga a hacker állít fel, vagy egy olyan webhely lehet, amely lehetővé teszi a felhasználók számára tartalom feltöltését.
Egy másik módja a számítógépes bűnözők elindították ezt a típusú támadást, azonban a törvényes webhelyek behatolásával. A hét elején például a Cobra Electronics állampolgári zenekar-kereskedője nyilvánosságra hozta, hogy júniusban feltörték, valószínűleg egy professzionális hacker, aki a webhelyet használta kártékony programok letöltésére az ügyfelek számára.
A Microsoft nem mondta, hibát követett el a következő rendszeres ütemezett biztonsági frissítések sorozata miatt, december 8. előtt.
(Az IDG News Service Robert McMillan hozzájárult ehhez a jelentéshez.)
Négy Microsoft Patches Due kedden; A Microsoft kiadja négy fontos biztonsági javítást a Windows, az Exchange és az SQL termékek számára a következő kedden.
A Microsoft kiadja négy biztonsági javítást a Windows, az Exchange és az SQL termékekhez jövő kedden, mindkettő "fontos".
Kritikus biztonsági rés a Google Chrome-ban
Egy vietnami biztonsági vállalat kritikus sérülékenységet talált a Google új böngészőjében, de a Google már kiadott egy javítást.
Eddig a Microsoft azt állítja, hogy "kizsákmányolt kisszámú célzott támadásokról" kapott jelentést e kizsákmányolás használatával. A szoftvergyártó a probléma biztonsági javításán dolgozik, de a vállalat még nem mondta el, hogy a lehető leghamarabb, vagy a havi "patch kedd" frissítési ciklusának részeként kiadja-e a biztonsági frissítést. A következő "patch kedd" október 9-én lesz.
A kihasználást nyilvánosságra hozták a Rapid7-es Metasploit Project biztonsági cégnél, és először felfedezték vadonban a biztonsági kutató Eric Romang. A Metasploit azt tanácsolja a felhasználóknak, hogy az elinduljanak az IE, amíg a Microsoft nem ad ki biztonsági frissítést. Az új IE biztonsági hibát ugyanaz a csoport hozta létre, amely a legutóbbi Java nulla napos hibát hozta létre, a Metasploit szerint.