Fejl og løsninger: En sjælden nødsituation fra Microsoft

Microsoft har måske følt sig som den lille hollandske dreng i løbet af den sidste måned, plugging huller med regelmæssige patches og med sjældne out-of-cycle løsninger i et forsøg på at forhindre angribere i at hælde igennem.

Den uautoriserede patch, der er kritisk for alle versioner af Internet Explorer 2000, XP og Vista, adresserer IE's håndtering af fejlbehæftet ActiveX-kontroller, der er oprettet med Microsoft Active Template Library ATL), et udvikler værktøj inkluderet med Visual Studio. At-risiko-pc'er kan blive ramt af et drev-ved-download-angreb. Denne alvorlige sårbarhed påvirker mange ActiveX-kontroller. For eksempel bekræftede Adobe på sit sikkerhedswebsted, at dets Shockwave og Flash Player ActiveX styrer "udnytte sårbare versioner af ATL", og at den arbejder på en løsning. Problemet påvirker også IE på Windows Server 2003 og 2008, men er vurderet moderat alvorligt på disse operativsystemer.

Zero-Day Fixes

Microsofts regelmæssige Patch Tuesday release lukkede masser af andre huller, herunder en fejl på null dage, der havde været under angreb og involveret en ActiveX-kontrol, der blev brugt af Microsoft Video. Selvom plåstret deaktiverede kontrollen, som ikke tjente noget legitimt formål, korrigerede den ikke den underliggende fejl. Rettelsen, der er kritisk for Windows XP og moderat til Windows Server 2003, påvirker ikke Windows 2000, Vista eller Server 2008.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

En anden fix stoppet angreb på Microsoft DirectShows behandling af QuickTime-indhold. Angrebene, som ikke var afhængige af at have Apples QuickTime installeret, kunne udløse, hvis et offer åbnet eller forhåndsvisede en forgiftet QuickTime-fil. DirectX 7, 8.1 og 9.0 på Windows 2000 har brug for rettelsen, ligesom DirectX 9.0 på XP og Server 2003. Vista og Server 2008 får et pass.

Andre kritiske løsninger retter adresser til hvordan alle understøttede versioner af Windows håndterer skrifttyper i Websider, e-mail og Office-dokumenter. Manglerne i Embedded OpenType-fontmotoren var ikke blevet angrebet før patchfrigivelsen, men de er doozies.

En alvorlig fejl i Microsoft Office Web Components indebærer et ActiveX-problem, der tillader angreb på IE-brugere. En bred vifte af Office-komponenter og -versioner har brug for reparationen; For den komplette liste over berørt software, se den linkede Microsoft-side.

Du kan fange alle de ovennævnte rettelser via Windows Update.

Adobe og Firefox-patches

Microsoft var ikke den eneste, der lider af en nul -dagsrisiko i løbet af den sidste måned. Adobe, et andet populært mål, udstedte rettelser til Flash (på alle platforme), samt til Reader, Air og Acrobat, efter rapporter om angreb, der brugte forgiftede PDF-filer til at udnytte Flash-fejl. For at beskytte mod disse flerfarvede angreb skal du sørge for at opdatere alle dine Adobe-apps. Tag Flash version 10.0.32.18 og den nyeste Air på Adobes hjemmeside. For Reader, opdater til version 9.1.3 ved at åbne programmet og vælge Værktøjer, Check for Updates. Se Adobes sikkerhedsbulletin for links til Acrobat-opdateringer til Mac og Windows sammen med flere detaljer.

For at pakke op dine must-haves, skal Firefox-brugere opgradere til den nyeste tilgængelige version for at anvende flere rettelser til forskellige huller i versioner 3 og 3.5, herunder en alvorlig fejl i 3.5's håndtering af JavaScript, plus et problem, der påvirker Firefox 3's brug af SSL-certifikater til at kryptere sikre webforbindelser (3,5 var allerede sikkert fra den fejl). Klik på Hjælp, Check for Updates for at bekræfte, at du har den nyeste version. Og hvis du stadig er på version 3, skal du besøge Firefox-webstedet for at downloade 3.5; det er en forholdsvis smertefri opgradering.