Microsoft Patch Tirsdag: Kritisk opdatering til IE

I dag var Microsofts sidste pakke tirsdag i 2009. Microsoft udgav i alt seks nye sikkerhedsbulletiner, den mest presserende, der påvirker en fejl i nul dage i Internet Explorer, hvor der allerede eksisterer udnyttelseskode.

Uden sikkerhedsspørgsmål eller udnyttelse af uopsættelige sikkerhedsproblemer for at tvinge en opdatering uden for båndet, er det samlede antal sikkerhedsbulletiner for 2009 74 - et fald på 5 procent fra de 78 sikkerhedsbulletiner, der blev udgivet i 2008.

Deal med MS09-072 Første

[Yderligere læsning: Vores bedste Windows 10-tricks, tip og tweaks]

Eksperter er enige om, at MS09-072-sikkerhedsbulletinen, som indeholder den kumulative sikkerhedsopdatering til Internet Explorer, er langtfra den mest presserende patch udgivet af Microsoft i dag

Andrew Storms, direktør for sikkerhedsoperationer for nCircle, sagde i en email "Topping dagens nyheder fra Microsoft er løsningen for en kritisk nul dag bug i Internet Explorer. Sårbarheden blev en top sikkerhed bekymring for brugere, når udnyttelse kode blev offentligt tilgængelig. Som anerkendelse af problemets kritiske karakter gjorde Microsoft løsningen en topprioritet og leverede den om cirka to uger. "

En anden nCircle-sikkerhedsekspert, senior sikkerhedsingeniør Tyler Reguly, var enig i" Nummer 1 på alles hitliste i dag bør være MS09-072, IE-lappen, da dette omfatter en patch for den aktuelle IE 0-dages sårbarhed. Patching IE er altid afgørende, men i betragtning af offentlighedens udnyttelse bør dette patches så hurtigt som muligt.

Jeg talte med Amol Sarwate, leder af Qualys Vulnerabilities Research Lab, som opsummerede det "MS09-072 er absolut det mest presserende. Sårbarheden blev offentliggjort for tre uger siden. Attackere har haft tre uger til at arbejde med proof-of-concept og udvikle en funktionsdygtig udnyttelse. Hvis du kun kan lave en patch, så gør du den. "

Reguly sagde, at ud over MS09 -072 resten af ​​dagens sikkerhedsbulletiner er en slags tilfældig mash-up af rettelser. De involverer et meste af alfabetet og en række akronymer, der påvirker LSASS, ADFS og IAS til startere.

I det store skema af ting er der dog intet meget presserende, når du lapper Internet Explorer. Reguly anbefaler, at organisationer tager sig tid til korrekt at teste de resterende patches, inden de installeres.

Internet Explorer Fejl

Du har måske ikke lagt mærke til, men "Kumulativ opdatering til Internet Explorer" er en permanent løsning på den månedlige liste over sikkerhedsbulletiner fra Microsoft, og så vidt jeg kan huske det er altid klassificeret som kritisk. Da flere applikationer og tjenester køres direkte fra skyen, bliver webbrowseren endnu mere sikker på en akilleshæl.

Jeg talte med Qualys Chief Technology Officer Wolfgang Kandek, som bemærkede, at en betydelig procentdel af Qualys kunder stadig stoler på internettet Explorer 6. Han foreslog, at de fleste af de svagheder, der blev konfronteret, kunne elimineres ved blot at vedtage Internet Explorer 8.

nCircle's Storms "påpeger dog, at" Microsofts sikre kodeudviklingspraksis vil komme under kontrol igen, fordi dagens IE opdatering omfatter rettelser til to tidligere ikke-offentlige udbytter, der kun påvirker IE8, den nyeste browser fra Microsoft. "

Storms uddybet" Microsoft kan ikke undgå spekulationerne om, at disse fejl skulle have været fundet under softwareudviklingen og kvalitetssikringscyklus, men virkeligheden er, at dette skulle være tilfældet. Hvert produkt har fejl og flere funktioner betyder større angrebsflader. "

Træk ikke dit selv ned

Kandek mener, at Microsoft er stærkt fokuseret på Windows 7 og gerne vil holde øje - og udviklere - på fremtiden, men at den massive base af Windows XP-installationer ikke kan ignoreres. Så meget som Microsoft kan lide at gå væk fra at understøtte det gamle operativsystem, vil Windows XP stadig være i et stykke tid.

Det er værd at bemærke, at Windows 7 ikke har været direkte påvirket af nogen af ​​de 12 sikkerhedsbulletiner, der er blevet frigivet, da den ramte gaderne. Windows 7 er perifert påvirket af Internet Explorer-problemerne adresseret i MS09-072, og der er den igangværende udforskning af hvad der forårsager dødenes mystiske sorte skærm, men ingen bekræftede Windows 7-fejl endnu.

Alt i alt, Internet Explorer 6 er som swissost sammenlignet med IE8 fra et sikkerhedsperspektiv. Det er også et mareridt for webadministratorer og brugere, der forsøger at gøre ting som visning af websider. Den seneste Microsoft Security Intelligence Report viste, at Windows XP er 75 procent mere sandsynligt at blive kompromitteret end Windows 7.

Så svag som de to produkter sammenlignes med deres mere moderne ækvivalenter, afhænger mange organisationer stadig af dem. Disse organisationer skal tage et kig på Windows 7 og Internet Explorer 8 og de potentielle besparelser med hensyn til support.

Brug af Windows XP og Internet Explorer 6 og derefter klager over sikkerheden ved Microsoft-produkter er som at køre din bil rundt ved at trække en bådanker og derefter klager over, at du får dårlig gaskørsel.

Tony Bradley tweets som @PCSecurityNews, og kan kontaktes på hans Facebook-side.