Microsoft kiihdytti Explorer 8 -ennusteen

Vain 11 päivää neuvonnan julkaisemisen jälkeen Microsoft on julkaissut Internet Explorer 8: n vikoja koskevan korjaustiedoston, joka leviää USA: n työministeriössä aiemmin tässä kuussa.

Microsoftin nopea julkaisu tämän korjaustiedoston " on erinomainen esimerkki Microsoftin houkuttelevuudesta turvallisuusyhteisöön ja niiden käyttäjille ", kirjoitti tietoturvapalvelujen tarjoajan Tripwire: n turvallisuusjohtaja Andrew Storms.

Tämä IE8-tietoturvatiedote (MS13-038) on yksi 10, jonka Microsoft julkaisi tiistaina osana "Patch Tuesday" julkaisua viankorjauksia ja tietoturvatiedotteita, joita yritys säännöllisesti julkaisee kunkin kuukauden toisena tiistaina.

[Lue lisää: Malwarin poistaminen e Windows-tietokoneelta]

Microsoft merkitsi MS13-038 kriittiseksi ja yritys ja muut tietoturva-alan yritykset neuvovat IE8: n vielä käynnissä olevia käyttäjiä korjaamaan korjaus välittömästi. Käyttämällä muutettua työministeriön Web-sivua hyökkääjät käyttivät tätä haavoittuvuutta yrittäessään asentaa haitallisen koodin kenenkään kävijälle, joka käyttää IE8: ta. Microsoft julkaisi tämän heikkouden tilapäisen korjauksen viime viikolla.

Toinen kriittinen tiedotuslehti, MS13-037, koskee myös Internet Exploreria. Tämä päivitys ratkaisee 11 ongelmaa, jotka olisivat helpottaneet haitallisen koodin pistämisen selaimelle erityisestä verkkosivusta, jonka avulla käyttäjä voi hallita tietokonetta. Päivitys kattaa PWN2Own-haavoittuvuuden, joka on paljastettu aiemmin tänä vuonna.

Windows Server 2012 -asiakkaiden on otettava välittömästi esiin MS MS03-039. Tämä päivitys korjaa haavoittuvuuden Microsoftin Web IIS (Internet Information Services) -palvelussa, jota voitaisiin käyttää Denial of Service (DoS) -hyökkäyksessä käyttämällä HTTP-pakettia. Koska tällaisen haavoittuvuuden käyttäminen olisi suhteellisen helppoa, organisaatioiden olisi sovellettava tätä päivitystä mahdollisimman pian, koska tämän haavoittuvuuden perustana olevat hyödyt saattavat näkyä jo muutaman viikon kuluttua Tripwiren mukaan.

Ross Barrett, tietoturvayhtiö Rapid7: n johtava tietoturvaohjaaja, kirjoitti lausunnossaan, että "vaikka DoS-hyökkäykset katsotaan yleensä toisen (tai kolmannen) tason riskin suhteen, tämä voi mahdollisesti olla häiriöitä organisaatiolle, sillä monet etäpalvelut ja Active Directory -integroinnit luottavat http.sysiin, joka on IIS: n käyttämä verkkoalijärjestelmä.

"Tämän virheen onnistunut hyödyntäminen voi vaikuttaa vakavasti julkisiin Web-palvelimiin ilman minkäänlaista inline-järjestelmää [tunkeutumisen estojärjestelmä] niitä. Pohjimmiltaan jokainen käyttäjä voisi käynnistää yksinkertaisen hyökkäyksen ja palvelin on oleellisesti offline, "Storms huomasi. Hän huomautti myös, että mikään Microsoft Server 2012: n kopio - ei pelkästään Web-palvelimina toimivat - voi olla IIS: n, kuten Microsoft Exchange- tai SharePoint-palvelin.

Seitsemän jäljellä olevaa tiedotetta ei ole mikään kriittinen mutta kaikki tärkeä tärkeä osoite vikoja Microsoftin Lyncissä, Publisherissa, Wordissa, Visio, Windows Essentials,.Net ja Windows-ytimessä.