Video: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (Noiembrie 2024)
Microsoft a lansat o actualizare pentru Internet Explorer pentru a închide vulnerabilitatea de zero zile care fusese deja folosită în mai multe atacuri vizate recent.
Actualizarea în afara grupului Microsoft abordează defectele critice din versiunile 6, 7 și 8 ale Internet Explorer, a declarat compania în avizul său de securitate de astăzi. Compania a lansat anterior un Fix-It ca soluție pentru a închide temporar problema. Microsoft a spus că utilizatorii care au instalat Fix-It nu trebuie să-l dezinstaleze înainte de aplicarea corecției.
"Majoritatea clienților au actualizări automate activate și nu vor trebui să ia nicio măsură, deoarece protecțiile vor fi descărcate și instalate automat", a spus Microsoft în aviz. Utilizatorii care actualizează manual IE sunt încurajați să aplice actualizarea cât mai repede posibil.
Este important să rețineți că Microsoft a lansat un patch și nu o actualizare cumulativă, a spus Wolfgang Kandek, CTO of Qualys. Utilizatorii trebuie să se asigure mai întâi că versiunea lor de Internet Explorer este actualizată (și are MS12-077) instalată înainte de aplicarea corecției (MS13-008), a spus Kandek.
Fără bandaj
Acest patch vine la o săptămână după lansarea lunară a programului marți Patch de Microsoft. Mulți experți în securitate s-au întrebat dacă asta înseamnă că compania intenționează să aștepte până în februarie pentru a remedia erorile.
„Nu m-ar mira deloc să văd un alt buletin IE în februarie, pe lângă patch-ul de astăzi”, a spus Andrew Storms, directorul operațiunilor de securitate la nCircle. Patch-urile regulate ale browserului sunt un lucru bun, deoarece atacatorii atacă din ce în ce mai mult browserele Web, a spus Storms.
Cercetătorii de la FireEye au descoperit în decembrie că site-ul Consiliului de Relații Externe a fost compromis și infecta vizitatorii folosind versiuni mai vechi de Internet Explorer, exploatând această vulnerabilitate. Odată identificat defectul zilei zero, alți cercetători au descoperit atacuri similare asupra altor site-uri, inclusiv producătorul de sisteme de microturbină, Capstone Turbine și două site-uri chineze pentru drepturile omului. Microsoft a lansat o soluție temporară, dar cercetătorii Exodus Intelligence au reușit să ocolească Fix-It și să declanșeze gaura de securitate.
În timp ce compania a lucrat destul de rapid pentru a lansa acest plasture, există încă o „mare probabilitate” ca mulți utilizatori să nu fi făcut măsurile necesare, iar o mare parte din utilizatorii de IE să rămână neprotejați, Mark Elliott, vicepreședinte executiv al produselor la Quarri Technologies, a declarat pentru SecurityWatch . Acest lucru subliniază modul în care întreprinderile sunt adesea "la mila cât de utilizatori finali calificați sunt administrator de securitate", a spus Elliott.
Utilizatorii sunt, de asemenea, încurajați să facă upgrade la Internet Explorer 9 sau 10. Problema afectează în principal utilizatorii care încă rulează Windows XP, care nu pot rula versiunile mai noi de IE.
"Deoarece aceste patch-uri abordează vulnerabilitățile care sunt exploatate în stare sălbatică, este esențial ca patch-urile să fie dislocate cât mai curând posibil", a declarat pentru SecurityWatch Marc Maiffret, CTO al BeyondTrust.
Pentru mai multe din Fahmida, urmați-o pe Twitter @zdFYRashid.