A Microsoft rivalizálja az Explorer 8 patch kiadását

Csak 11 nappal a tanácsadás kiadása után a Microsoft kiadott egy javítócsíkot az Internet Explorer 8-ban, amely az Egyesült Államok Munkaügyi Minisztériumának előtti hónapban történt.

A Microsoft gyors kiadása " a Microsoft biztonságérzékenységének és a felhasználóknak való megfelelés kiemelkedő példája "- írta Andrew Storms, a security szoftver szolgáltató Tripwire operációs biztonságért felelős igazgatója e-mailes nyilatkozatban.

Ez az IE8 biztonsági közlemény (MS13-038) egyike a Microsoft által kedden kiadott "Patch kedd" kiadásakor hibajavításokat és biztonsági közleményeket, amelyeket a vállalat rutinszerűen kiad minden hónap második keddjén.

[További olvasmány: Hogyan távolítsuk el a malwar-t? e a Windows PC-jéről]

A Microsoft az MS13-038-at kritikus fontosságúvá tette, és a cég, valamint más biztonsági cégek is tanácsolják az IE8-at még mindig használónak, hogy azonnal alkalmazzák a javítást. A módosított Munkaügyi Osztály weboldal használatával a támadók ezt a sérülékenységet használják arra az esetre, ha rosszindulatú kódot telepítenek az IE8-at futtató látogatók gépére. A Microsoft a múlt héten ideiglenes javítást hozott a sérülékenységre.

A másik kritikus közlemény, az MS13-037, szintén érinti az Internet Explorert. Ez a frissítés 11 problémát oldott meg, amelyek megkönnyítenék a rosszindulatú kód beillesztését a böngészőbe egy speciálisan kialakított weboldalról, amely lehetővé teszi a felhasználó számára, hogy átvegye a számítógép vezérlését. A frissítés lefedi a PWN2Own biztonsági rést, amelyet az év elején fedeztek fel.

A Windows Server 2012-et futtató felhasználóknak azonnal meg kell vizsgálniuk az MS MS03-039-et. Ez a frissítés javítja a Microsoft Internetes IIS (Internet Information Services) biztonsági rését, amelyet HTTP-csomag használatával használhat a Denial of Service (DoS) támadásra. Mivel viszonylag egyszerű lenne a támadást a sebezhetőség felhasználásával, a szervezetek a lehető leghamarabb alkalmazzák ezt a frissítést, mivel a sebezhetőségen alapuló kizsákmányolások a Tripwire szerint néhány héten belül is megjelenhetnek.

Ross Barrett, a Rapid7 biztonsági cég vezető biztonsági vezetője elmondta, hogy "bár a DoS támadások általában a második (vagy harmadik) szintnek tekinthetők a kockázat szempontjából, ez potenciálisan nagyon zavaró lehet egy szervezet számára, mivel számos távoli szolgáltatás és Az Active Directory integrációi a http.sys-re támaszkodnak ", amely az IIS által használt hálózati alrendszer.

" Ennek a hibának a sikeres kihasználása komoly következményekkel járhat a nyilvános webszerverekre, anélkül, hogy valamilyen inline [behatolás-megelőzési rendszert] őket. Lényegében bármely felhasználó egyszerű támadást indíthat, és a kiszolgáló alapvetően offline lesz - jelentette be a viharok. Azt is megjegyezte, hogy a Microsoft Server 2012 minden példánya - nem csak webkiszolgálóként működik - IIS-t futtathat, például egy kiszolgálót a Microsoft Exchange vagy a SharePoint számára.

A hét fennmaradó kiadvány - hibákat a Microsoft Lync, Publisher, Word, Visio, Windows Essentials,.Net és a Windows kernelben.