Bug-uri și reparații: o soluție de urgență rară de la Microsoft

Microsoft s-ar putea să se simtă ca micul băiat olandez în ultima lună, conectând găuri cu patch-uri regulate și cu remedii rare în afara ciclului o încercare de a împiedica atacatorii să se vărseze.

Patch-ul din ciclul critic, critic pentru toate versiunile de Internet Explorer pe 2000, XP și Vista, abordează gestionarea de către IE a controalelor ActiveX defecte create cu Microsoft Active Template Library ATL), un instrument de dezvoltare inclus în Visual Studio. PC-urile cu pericol de risc ar putea fi lovite de un atac drive-by-download. Această vulnerabilitate gravă afectează multe controale ActiveX. De exemplu, Adobe a confirmat pe site-ul său de securitate că controlul Shockwave și Flash Player ActiveX "utilizează versiuni vulnerabile ale ATL" și că lucrează la o soluție fixă. Problema afectează, de asemenea, IE pe Windows Server 2003 și 2008, dar este evaluată moderat sever pe acele sisteme de operare.

Corecțiile Zero-Day

Versiunea curentă a Microsoft Patch a închis multe alte găuri, inclusiv un defect de zero zile a fost atacat și a implicat un control ActiveX folosit de Microsoft Video. Deși patch-ul a dezactivat controlul, care nu a servit niciun scop legitim, nu a corectat defectele de bază. Fixarea, critică pentru Windows XP și moderată pentru Windows Server 2003, nu afectează Windows 2000, Vista sau Server 2008.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

atacurile împotriva procesării de către Microsoft DirectShow a conținutului QuickTime. Atacurile, care nu depindea de instalarea aplicației QuickTime de la Apple, ar putea declanșa dacă o victimă a deschis sau a previzualizat un fișier QuickTime otrăvit. DirectX 7, 8.1 și 9.0 pe Windows 2000 au nevoie de remediere, la fel ca și DirectX 9.0 pe XP și Server 2003. Vista și Server 2008 obțin un permis.

Alte corecții critice au vizat găuri în modul în care toate versiunile suportate de Windows se ocupă cu fonturile Pagini web, e-mail și documente Office. Defectele din OpenType Font Engine încorporate nu au fost atacate înainte de lansarea patch-urilor, dar ele sunt doozies.

Un defect serios în Microsoft Office Web Components implică o problemă ActiveX care permite atacuri asupra utilizatorilor IE. O gamă largă de componente și versiuni Office necesită remedierea; pentru lista completă a software-ului afectat, consultați pagina Microsoft conectată.

Aveți posibilitatea să apucați toate remedierile menționate mai sus prin Windows Update.

Microsoft și Firefox Patches

Microsoft nu a fost singurul care suferă de zero amenințarea zilei în ultima lună. Adobe, o altă destinație populară, soluții emise pentru Flash (pe toate platformele), precum și pentru Reader, Air și Acrobat, după rapoartele de atacuri care au folosit PDF-uri otrăvite pentru a exploata defectele Flash. Pentru a proteja împotriva acestor atacuri multiprovizionate, asigurați-vă că actualizați toate aplicațiile Adobe. Grab versiunea Flash 10.0.32.18 și cea mai recentă versiune Air de la Adobe. Pentru Reader, actualizați versiunea 9.1.3 deschizând programul și selectând Instrumente, Verificați pentru actualizări. Consultați Buletinul de securitate Adobe pentru linkuri către actualizările Acrobat pentru Mac și Windows, împreună cu mai multe detalii.

Pentru a încheia nevoile dvs. trebuie utilizatorii Firefox să treacă la cea mai recentă versiune disponibilă pentru a aplica mai multe remedii pentru diferite găuri în versiunile 3 și 3.5, inclusiv o eroare gravă în manipularea JavaScript de la 3.5, plus o problemă care afectează utilizarea de către Firefox 3 a certificatelor SSL pentru criptarea conexiunilor Web securizate (3.5 era deja în siguranță de la acel defect). Faceți clic pe Ajutor, Verificați pentru actualizări pentru a confirma că aveți cea mai recentă versiune. Și dacă sunteți în continuare pe versiunea 3, vizitați site-ul Firefox pentru a descărca 3.5; este un upgrade relativ nedureros.