Patch Tuesday: Sikkerhedsfokus som Microsoft, Oracle Patch Bugs

Det er mor til alle patchdage for enterprise IT-butikker, med både Microsoft og Oracle udgivelse af kritiske softwareopdateringer tirsdag.

Microsoft afbrudt tirsdag morgen med 11 sikkerhedsopdateringer, herunder rettelser til kritiske sikkerhedsfejl i Windows Active Directory, Internet Explorer, Excel og Microsoft Host Integration Server, som integrerer Windows-computere med IBM mainframes.

Sikkerhedseksperter siger, at Internet Explorer-opdateringen, som løser seks fejl i browseren, er den, der skal se. Det skyldes, at det er kritisk for Internet Explorer 6-brugere, der kører Windows XP - en meget almindelig konfiguration i virksomheden.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Men kunder, der kører Windows Active Directory på ældre Windows 2000-maskiner skal flytte opdateringen MS08-060 Active Directory til toppen af ​​deres patchkø, sagde Don Leatham, en direktør for løsninger og strategi hos Lumension Security. Fordi en Active Directory-server kan bruges til at indstille tilladelser på andre maskiner og administrere brugere på netværket, vil overtagelsen af ​​denne maskine "være den hellige gral for nogen, der forsøger at komme ind i et firma og helt forstyrre det," sagde han. > Normalt er Active Directory-servere blokeret ved firewallen, hvilket betyder at en angriber sandsynligvis skal være på et internt netværk for at montere et angreb, siger Eric Schultze, chefstekniker med Shavlik Technologies. Men fejlen "betyder enhver intern, utilfreds bruger kan tage fuld kontrol over Windows 2000-domæner og domænecontrollere," sagde han via instant message.

Forebyggelse af denne bekymring er imidlertid, at Microsoft ikke har haft nogen rapporter om, at dette sårbarhed er blevet udnyttet i et angreb. Selvom det er sandsynligt, at en angriber kan kollapse Windows 2000-maskinen ved at udnytte denne fejl, er det vanskeligt at oprette fungerende udnyttelseskoder til at udnytte fjernkørsel af kode. I alt er der 20 sikkerhedsfejl blev rettet i Microsofts 11 opdateringer. Der var også seks mindre kritiske opdateringer, som blev bedømt "vigtige" af Microsoft, til forskellige Windows-komponenter og et "moderat" programrettelse, der løser en fejl, der kan give en angriber snoopinformation fra en Office-bruger.

Oracles sikkerhedsopdateringer, forventes kl. 13.00 Pacific-tiden vil omfatte rettelser til 36 fejl i en række Oracle-produkter, herunder firmaets flagskibsdatabase, dets applikationsserver, e-business-suite og weblogic-server og udviklingsværktøjer. Bug-fixes er også planlagt til virksomhedens JD Edwards og PeopleSoft-produkter.

Det er usædvanligt, at både Microsoft og Oracle udskriver patches samme dag. Microsofts sikkerhedsopdateringer kommer ud på den anden tirsdag i hver måned, kendt som Patch Tuesday i branchen. Men Oracle's patches er en kvartalslig affære, leveret på tirsdag nærmest midten af ​​måneden. Normalt sætter Oracle patcherne den tredje tirsdag i måneden, men denne måneds konverteringstidspunkt for Microsoft og Oracle konvergerede.

Tirsdagens Microsoft-opdateringer kom med lidt mere information til virksomhedens kunder. De omfattede en ny sektion kaldet "Exploitability Index", der er designet til at gøre det lettere for Windows-brugere at finde ud af, hvilke fejl der sandsynligvis vil blive udnyttet af hackere.

Microsoft har nu vurderet alle sine sikkerhedsopdateringer med følgende beskrivelser: "Konsekvent udnyttelseskode Sandsynligvis", "Ukonsistent udnyttelseskode Sandsynligt" eller "Funktionsudnyttelseskode Usandsynligt."

Virksomheden sagde, at udnyttelseskoden sandsynligvis var for fejl i den kritiske Internet Explorer, Microsoft Host Integration Server og Excel-opdateringer. En af Internet Explorer-fejlene, som kunne lade en angriber få forhøjede rettigheder på en Windows-maskine, er allerede blevet offentliggjort, men det er ikke tænkt at have været brugt i virkelige angreb, siger Microsoft.

En anden først: Microsoft gav visse sikkerhedspartnere hurtig adgang til opdateringerne denne måned, så de kunne rulle angrebssporing i deres software, da patcherne blev udgivet tirsdag.