Πως κλείνουμε της γρατσουνιές
Η Microsoft έθεσε σήμερα ένα σοβαρό ελάττωμα κατά την επίθεση σε ένα στοιχείο ελέγχου βίντεο ActiveX μαζί με άλλα κρίσιμα ελαττώματα που αφορούν τα αρχεία και τις γραμματοσειρές QuickTime. Αλλά μια κρίσιμη μηδενική τρύπα σε άλλο στοιχείο ελέγχου ActiveX παραμένει αδρανές.
Η πιο σημαντική λύση στο σημερινό Patch Tuesday διορθώνει μια οπή που αποκαλύφθηκε πριν από οκτώ ημέρες στο στοιχείο ελέγχου Microsoft Video ActiveX. Το ελάττωμα, το οποίο έχει υποστεί ενεργό επίθεση, έχει κριθεί κρίσιμο για τα Windows XP και είναι μέτριο για τα Windows 2003. Η ενημερωμένη έκδοση κώδικα MS09-032 απενεργοποιεί τον αχρησιμοποίητο (για νόμιμους σκοπούς) έλεγχο σε επιθέσεις δυναμικού stymie, αλλά δεν διορθώνει το υποκείμενο σφάλμα.
Σημείωση: Από τις 2 μ.μ., η Microsoft δεν έχει ακόμη δημοσιεύσει τους συνδέσμους με τα επιμέρους δελτία (για MS09-032 κ.λπ.). Μέχρι να κάνει αυτές τις συνδέσεις θα σας φέρει μόνο στην αρχική σελίδα του TechNet.
Μια δεύτερη επιδιόρθωση κλείνει μια άλλη οπή υπο-επίθεσης που περιλαμβάνει τον τρόπο με τον οποίο η Microsoft DirectShow επεξεργάζεται το QuickTime περιεχόμενο. Η ενημερωμένη έκδοση κώδικα MS09-028 κλείνει τρία σφάλματα ασφαλείας, τα οποία αποκαλύφθηκαν τον Μάιο, τα οποία μπορούν να ενεργοποιηθούν κατά το άνοιγμα ή ακόμα και απλά προεπισκόπηση ενός δηλητηριασμένου αρχείου QuickTime. Τα Windows XP, 2000 και Server 2003 επηρεάζονται όλα, ανεξάρτητα από το εάν ή όχι το QuickTime της Apple είναι εγκατεστημένο στον τρωτό υπολογιστή. Για περισσότερες πληροφορίες, ανατρέξτε στο ενημερωτικό δελτίο MS09-028.Δύο κρίσιμα σημεία ευπάθειας στη μηχανή γραμματοσειρών OpenType της Microsoft ενσωματωθεί κλείσει με την τρίτη ενημερωμένη έκδοση κώδικα MS09-029. Παρόλο που κανένα από τα ελαττώματα δεν αναφέρεται ως ενεργό επίθεση, και οι δύο θα πάρουν μια επικίνδυνη "συνεπή αξιοποίηση κώδικα πιθανή" βαθμολογία στο Δείκτη Exploitability της Microsoft. Τα Windows 2000, XP, Server 2003, Vista και Server 2008 βρίσκονται σε κίνδυνο.
Τρία άλλα μπαλώματα κλείνουν τρύπες αξιολογούμενες σημαντικές και όχι κρίσιμες. Μια ενημερωμένη έκδοση κώδικα για το Office 2007 κλείνει μια οπή στον εκδότη του Microsoft Office, η οποία θα μπορούσε να επιτεθεί κατά το άνοιγμα ενός κακόβουλου αρχείου του Publisher (δείτε το MS09-030). Δύο άλλα για το Virtual PC και τον Virtual Server (MS09-033), καθώς και για το Microsoft Internet Security and Acceleration Server 2006 (MS09-031), πλησιάζουν τα προνόμια κλιμάκωσης ασφαλείας securiyt και είναι πιθανό να έχουν μεγαλύτερη ανησυχία για τύπους πληροφορικής.
Αυτές οι επιδιορθώσεις θα φτάσει μέσω των Αυτόματων ενημερώσεων και μπορείτε επίσης να ανακτήσετε αυτόματα το tham, εκτελώντας το Microsoft Update. Αλλά λάβετε υπόψη ότι ένα κρίσιμο ελάττωμα που αναφέρθηκε μόλις χθες παραμένει ασταθές. Το ελάττωμα που αφορά ένα στοιχείο ελέγχου ActiveX που έχει εγκατασταθεί από το Office, επιτρέπει επιθέσεις επιθέσεις λήψης, αλλά μπορεί να μετριαστεί με τη γρήγορη λήψη του Fix-it.
Οι ενημερώσεις κώδικα που θα κυκλοφορήσουν στο λεγόμενο Patch Tuesday περιλαμβάνουν διορθώσεις για ευπάθεια που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα στο Windows Media Player 11 σε διάφορα λειτουργικά συστήματα της Microsoft και για μια ευπάθεια που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα σε διάφορες εκδόσεις του λειτουργικού συστήματος Windows και των σχετικών προϊόντων, συμπεριλαμβανομένων των 2003 Server, Vista, XP, Office, .Net Framework, Works, Visual Studio, Visual FoxPro και άλλ
Τα δύο άλλα Patches θα αντιμετωπίσουν απομακρυσμένη εκτέλεση κώδικα στο Windows Media Encoder 9 και στο Office OneNote 2007.
Δύο ενημερώσεις κώδικα, MS09-045 και MS09-046, επιδιορθώνουν τα vulnerabilites που θα μπορούσαν να επιτρέψουν τον κωδικό επίθεσης που είναι κρυφό σε μια ιστοσελίδα για να εκτελέσει οποιαδήποτε εντολή σε έναν ευάλωτο υπολογιστή. Το πρώτο υποστηρίζει πολλαπλές εκδόσεις του μηχανισμού JScript Scripting Engine και έχει κριθεί κρίσιμη για τα Windows 2000, XP, Server 2003, Vista και Server 2008 (εκτός από τα Windows Server R2 για συστήματα x64 και Itanium). Το δεύτερο κλείνει μια οπή στο στοιχείο ελέγ
Ένα τρίτο δελτίο αντιμετωπίζει μια κρίσιμη τρύπα στο Windows Media Format που μπορεί να παραδώσει τον έλεγχο ενός ευάλωτου Η / Υ αν δείτε ένα αρχείο media .mp3, .wma ή .wmv με δηλητηρίαση, σύμφωνα με τη Symantec. Η ενημερωμένη έκδοση κώδικα MS09-047 είναι κρίσιμη για πολλούς συνδυασμούς του Windows Media Format Runtime ή των Windows Media Services στα Windows 2000, XP, Server 2003, Vista και Server 2008. Το ενημερωτικό δελτίο της Microsoft παραθέτει την πλήρη σειρά δυνητικών συνδυασμών λογισμικο
Η ταχεία αποδέσμευση αυτής της ενημερωμένης έκδοσης από την Microsoft " αποτελεί ένα εξαιρετικό παράδειγμα της ανταπόκρισης της Microsoft στην κοινότητα ασφαλείας και τους χρήστες της », δήλωσε ο Andrew Storms, διευθυντής ασφάλειας των λειτουργιών για τον προμηθευτή λογισμικού ασφαλείας Tripwire, σε μια δήλωση ηλεκτρονικού ταχυδρομείου.
Αυτό το ενημερωτικό δελτίο ασφαλείας (IE8) των 10 που η Microsoft κυκλοφόρησε την Τρίτη στο πλαίσιο της "Patch Tuesday" κυκλοφορίας των διορθώσεων σφαλμάτων και των ενημερωτικών δελτίων ασφαλείας που η εταιρεία εκδίδει συνηθισμένα τη δεύτερη Τρίτη κάθε μήνα