Microsoft Fixes IE, Office i stor måned for sikkerhedsopdateringer

Microsoft udgivet patches for at rette 19 kritiske sårbarheder i dens software tirsdag, herunder fem fejl i sin internet Explorer-browser, som sikkerhedseksperter råder IT-administratorer til at patchere straks.

I alt 11 sikkerhed opdateringer udgivet i august er den største runde af patch tirsdag opdateringer Microsoft har udgivet siden februar sidste år og bør give it-administratorer masser at gøre for at sikre deres virksomheds systemer. "Folk vil være meget optaget af denne belastning", sagde Jason Miller, sikkerhedsdata team leder for Shavlik Technologies, en patch-management software udbyder i St. Paul, Minnesota.

Seks af patchesne, som kan findes på Microsofts websted er klassificeret som kritisk, mens fem er klassificeret som vigtige.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Miller og andre sikkerhedseksperter citeret Microsoft Security Bulletin MS08-045, en Kumulativ sikkerhedsopdatering til Internet Explorer, som topprioritet blandt denne måneds batch opdateringer. Opdateringen patches fem privat rapporterede sårbarheder og en, der allerede er offentliggjort og for hvilken angrebskode allerede eksisterer, hvilket gør det til en fejl på nul dag.

Don Leatham, direktør for løsninger og strategi for Lumension Security, sagde det faktum at IE-sårbarhederne påvirker HTML (Hypertext Markup Language), er nok grund til at lappe dem i den allerstørste betydning, da muligheden for udnyttelse er så stor. "Hvert websted i verden bruger HTML," sagde han. Lumension, der er baseret i Scottsdale, Arizona, leverer software og tjenester til patch- og sårbarhedsstyring.

Shavlik's Miller sagde, at IE-patcherne og en anden kritisk opdatering udgivet tirsdag, der løser en sårbarhed i ActiveX Control for øjebliksvisningsprogrammet til Microsoft Access - - MS08-041 - er relateret, fordi de begge tillader en angriber at oprette et websted, der udnytter disse sårbarheder. Han nævnte dem begge som prioriteter for øjeblikkelig installation.

Leatham citerede også Snapshot Viewer-udnyttelsen som en høj prioritet for it-administratorer, fordi mange virksomheder bruger omfattende værktøjer til Access og dets snapshot viewer.

"Du kan være sikker på, at folk bruger betragteren deler information med partnere, kunder og internt i betragtning af Office-pakkenes popularitet og hvor meget virksomheder har tendens til at bruge Access, "sagde han.

En opdatering, der løser en sårbarhed i Microsoft Windows Image Color Management System - MS08-046 - skal også installeres straks, fordi det kan tillade et angreb, hvis en bruger navigerer til en webside og ser et bestemt grafik, sagde forskere. Farvestyringssystemet er en del af det grafiske delsystem i Windows.

"Da [sårbarheden] er webbaseret og grafisk, vil du helt sikkert være særlig opmærksom på den ene," sagde Leatham.

To august opdateringer vurderet som vigtige bør også være af interesse for it-fagfolk, selvom Microsoft har bedømt dem under de kritiske opdateringer. De er MS08-047, som løser en sårbarhed i forbindelse med IPsec Policy-behandling, og MS08-50, som patcherer en fejl i Messenger.

Selv om Microsoft ikke vurderer fejl, der giver mulighed for informationsoplysning som kritisk, er IPsec-sårbarheden, som kunne gøre, hvad folk tror, ​​at de er troværdige krypterede informationstunneler i åben tekstkommunikation, kunne blive så, at visse virksomheder bruger IPsec intensivt til at overføre kritiske data, såsom sundhedsplejeorganisationer, der arbejder med fortrolige patientoplysninger, siger Leatham.

Tilsvarende Microsoft har ikke vurderet Messenger-sårbarheden som kritisk, fordi den kun omhandler informationsformidling; Det åbner dog mulighed for et "samfundsmæssige angreb, som vi ikke har set før" og bør tages alvorligt, sagde Amol Sarwate, leder af sårbarhedsforskningslaboratoriet i Qualys. Qualys, der er baseret i Redwood Shores, Californien, leverer sårbarhedsstyring og politikoverholdelsestjenester.

"Det gør det muligt for angribere at invitere folk til lyd- eller videokonference ved at udgive et offer," sagde han og bemærkede, at det også er en nul-dags sårbarhed.

I sidste torsdag fortalte Microsoft, at det forventede at frigive 12 sikkerhedsopdateringer tirsdag som en del af sin månedlige patchcyklus, kaldet patch tirsdag af sikkerhedsforskere, men i sidste øjeblik trukket en af ​​disse opdateringer på grund af kvalitetsproblemer, sagde virksomheden.

Microsoft gav ikke yderligere oplysninger om, hvornår og hvornår det ville frigive opdateringen; Men når opdateringer er trukket i sidste øjeblik før, bliver de normalt udgivet som en del af den næste måneds patchcyklus.

Også komplicerede sager i denne måned er en ny sikkerhedsrådgivning og patch, som Microsoft sendte ud for værktøjet, mange virksomheder bruger at patch Microsoft-applikationer, Windows Server Update Services, sagde Leatham. Han anbefalede, at virksomhederne sørger for, at de opdaterer værktøjet og kontrollerer, at det fungerer korrekt, inden August installeres.

"Der var en mærkelig fejl, der forårsagede, at nogle sikkerhedspatcher ikke blev implementeret i områder af organisationer," sagde Leatham. "Du vil sikre dig, at din WSUS-server er blevet patched", før du installerer en anden runde opdateringer.