Microsoft rushes Explorer 8 patch release

Netop 11 dage efter at have udgivet en rådgivning, har Microsoft udgivet en patch til en fejl i Internet Explorer 8, der bedeviled US Department of Labor tidligere i denne måned.

Microsofts hurtige udgivelse af denne patch " er et fremragende eksempel på Microsofts lydhørhed over for sikkerhedssamfundet og deres brugere, "skrev Andrew Storms, direktør for sikkerhedssikkerhed for sikkerhedssoftwareudbyder Tripwire, i en e-mail-erklæring.

Denne IE8-sikkerhedsbulletin (MS13-038) er en af 10, at Microsoft udgav tirsdag som en del af sin "Patch Tuesday" -løsning af fejlrettelser og sikkerhedsbulletiner, som virksomheden rutinemæssigt udsteder på den anden tirsdag i hver måned. [

[Yderligere læsning: Sådan fjerner malwar e fra din Windows-pc]

Microsoft markeret MS13-038 som kritisk, og selskabet rådgiver sammen med andre sikkerhedsfirmaer dem, der stadig kører IE8 for at anvende rettelsen øjeblikkeligt. Brug af en ændret arbejdsdepartementets webside anvendte angriberne denne sårbarhed i et forsøg på at installere skadelig kode på enhver besøgendes maskine, der kører IE8. Microsoft udstedte en midlertidig rettelse til denne sårbarhed i sidste uge.

Den anden kritiske bulletin, MS13-037, påvirker også Internet Explorer. Denne opdatering løser 11 problemer, der ville have gjort det nemt at injicere ondsindet kode i browseren fra en specielt udformet webside, hvilket giver brugeren mulighed for at tage kontrol over en computer. Opdateringen dækker PWN2Own sårbarheden, der blev gennemsyret tidligere i år.

De, der kører Windows Server 2012, skal straks kigge på MS MS13-039. Denne opdatering løser en sårbarhed i Microsoft Web IIS (Internet Information Services), der kan bruges i et Denial of Service-angreb (DoS), ved hjælp af en HTTP-pakke. Fordi det ville være relativt enkelt at lave et angreb ved hjælp af denne sårbarhed, bør organisationer anvende denne opdatering hurtigst muligt, fordi udnyttelser baseret på denne sårbarhed måske begynder at forekomme i så lidt som nogle få uger, ifølge Tripwire.

Ross Barrett, seniorleder for sikkerhedsteknologi hos sikkerhedsfirmaet Rapid7, skrev i en erklæring, at "mens DoS-angreb generelt betragtes som anden (eller tredje) niveau for så vidt angår risiko, kan dette potentielt være meget forstyrrende for en organisation, da mange fjerntjenester og Active Directory-integrationer er afhængige af http.sys, "som er det subsystem, der bruges af IIS.

En" vellykket udnyttelse af denne fejl kan have alvorlige konsekvenser for offentlige webservere uden nogen form for inline [indbrudsforebyggelsessystem] foran dem. I det væsentlige kan enhver bruger starte et simpelt angreb, og serveren vil i det væsentlige være offline, "bemærkede Storms. Han bemærkede også, at enhver kopi af Microsoft Server 2012 - ikke kun dem, der fungerer som webservere - kan køre IIS, som f.eks. En server til Microsoft Exchange eller SharePoint.

De syv resterende bulletiner - ingen kritiske men alle vigtige adresser fejl i Microsofts Lync, Publisher, Word, Visio, Windows Essentials,. Net og Windows-kernen.