Microsoft Patches Critical Drive-by-fejl

En alvorlig fejl, der gør det muligt at køre ved anfald, opfanger en patch i dagens regelmæssige månedlige patchbatch fra Redmond, ligesom kritiske fejl i Microsoft Office. Netværksangivelsesvektorer med det største bekymring for forretningsnettet bliver også kørt op.

Den vigtigste patch, MS09-065, lukker et hul, der kan give en hacker mulighed for at tage kontrol over et sårbart system, hvis du ser en specielt udformet Embedded OpenType skrifttype. Patchen er kritisk for Windows 2000, XP og Server 2003 og vigtig for Vista og Server 2008.

Ifølge nCircle, et virksomheds sikkerhedsrevisionsfirma, kan et angreb udløses ved at se enten et ondsindet websted eller åbne en forgiftet Office-dokument. Og Symantec siger, at proof-of-concept-kode allerede er offentligt tilgængelig, så dette er patch'et.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

De to andre kritiske patches denne måneds shore up netværksbaserede risici af største bekymring for virksomhederne. Den første involverer Web Services on Devices Application Programming Interface (WSDAPI) og er kritisk for Vista og Server 2008. Per Microsoft kan en specialbygget pakke sendt på tværs af netværket udløse fejlen, men angriberen skal være på samme lokalt undernet. Se MS09-063 for flere detaljer.

Det endelige kritiske program er kritisk for Windows 2000-systemer, der kører License Logging Server. Et sårbart system kan blive kompromitteret af en "specialdesignet netværksbesked", men i modsætning til WSDAPI-fejlen skulle et angreb mod dette hul ikke blive lanceret fra det samme lokale undernet. MS09-064 har flere oplysninger.

Office henter også et par patches, som kun vurderes vigtige af Microsoft, men kan stadig tillade fjernkørsel af fjernkoden, dvs. overtager en sårbar computer, hvis du åbner en ondsindet Word- eller Excel-fil. Per Microsoft er begge disse fejl vurderet vigtige snarere end kritiske, fordi "Microsoft Office Excel [eller Word] 2002 og nyere versioner har en indbygget funktion, der beder en bruger om at åbne, gemme eller annullere, før du åbner et dokument. Denne formildende faktor reducerer sårbarheden fra kritisk til vigtig, fordi sårbarheden kræver mere end en enkelt brugerhandling for at fuldføre udnyttelsen. "

Excel-patchet MS09-067 er til Office XP, 2003 og 2007 sammen med Office 2004 og 2008 for Mac. Open XML File Format Converter til Mac har også brug for rettelsen, ligesom Office Excel Viewer 2003 og Office Excel Viewer Service Office-kompatibilitetspakken til Word, Excel og PowerPoint 2007-filformater.

Hent Word-programrettelsen, MS09- 068, til Office XP og Office 2003, samt Office 2004 og 2008 til Mac, Open XML-filformatomformeren til Mac, Office Word Viewer 2003 og Office Word Viewer.

Den sidste vigtige patch lukker en sikkerhedshull i forbindelse med denial of service i Active Directory-katalogtjenesten, Active Directory Application Mode (ADAM) og Active Directory Lightweight Directory Service (AD LDS). MS090-066 er til Windows 2000, XP, Server 2003 og Server 2008, og pr Microsoft kræves kun for domænecontrollere og systemer konfigureret til at køre ADAM eller AD LDS.

Endelig opdaterede Microsoft to tidligere patches, MS09-045 og MS09-051. MS09-045-opdateringen tilføjer registrering for JScript 5.7 på Windows 2000, ifølge Microsoft, mens MS09-051-opdateringen løser et registreringsproblem, der involverer Audio Compression Manager i Windows 2000.

Som altid skal du slukke Microsoft Update for at hente nogen eller alle disse rettelser.