Microsoft Fixes IE, Office w Big Month of Security Updates

Microsoft wydał poprawki, aby naprawić we wtorek 19 krytycznych luk w zabezpieczeniach, w tym pięć luk w przeglądarce Internet Explorer, które eksperci od bezpieczeństwa zalecają administratorom IT natychmiastowe łatanie.

Łącznie 11 zabezpieczeń aktualizacje wydane w sierpniu to największa runda łatek Wtorkowe aktualizacje, które Microsoft wydał od lutego i powinny dać administratorom IT mnóstwo do zrobienia, aby zabezpieczyć systemy swoich firm. "Ludzie będą bardzo zajęci tym ładunkiem" - powiedział Jason Miller, szef zespołu ds. Danych bezpieczeństwa Shavlik Technologies, dostawcy oprogramowania do zarządzania łatkami w St. Paul w stanie Minnesota.

Sześć łatek, które można znaleźć na stronie internetowej Microsoftu są oceniane jako krytyczne, a pięć jest oceniane jako ważne.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Miller i inni eksperci bezpieczeństwa cytowali biuletyn Microsoft Security Bulletin MS08-045, Zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer, jako najwyższy priorytet w tegorocznej serii aktualizacji. Aktualizacja usuwa pięć zgłoszonych przez użytkownika luk w zabezpieczeniach i takie, które zostały już ujawnione publicznie i dla których istnieje już kod ataku, co czyni go luką zero-dniową.

Don Leatham, dyrektor rozwiązań i strategii dla Lumension Security, powiedział, że że luki w zabezpieczeniach IE wpływają na HTML (Hypertext Markup Language) to wystarczający powód, aby ich łatanie było najważniejsze, ponieważ szansa na wykorzystanie jest tak ogromna. "Każda strona internetowa na świecie używa HTML" - powiedział. Lumension z siedzibą w Scottsdale w Arizonie zapewnia oprogramowanie i usługi do zarządzania łatkami i lukami w zabezpieczeniach

Shavlik's Miller powiedział, że łatki IE i kolejna krytyczna aktualizacja wydana we wtorek naprawiają lukę w kontroli ActiveX dla Snapshot Viewer dla Microsoft Access - - MS08-041 - są powiązane, ponieważ pozwalają atakującemu utworzyć witrynę sieci Web, która wykorzystuje te luki. Wymienił je zarówno jako priorytety do natychmiastowej instalacji.

Leatham cytował także exploit Snapshot Viewer jako priorytet dla administratorów IT, ponieważ wiele firm używa programu Access i narzędzia Snapshot Viewer.

"Możesz być pewny, że ludzie używają przeglądający, aby dzielić się informacjami z partnerami, klientami i wewnętrznie, biorąc pod uwagę popularność pakietu Office i ilość firm, które często korzystają z Access, "powiedział.

Aktualizacja usuwająca lukę w systemie zarządzania kolorami obrazu Microsoft Windows - MS08-046 - również powinien zostać zainstalowany natychmiast, ponieważ może pozwolić na atak, jeśli użytkownik przejdzie na stronę sieci Web i wyświetli konkretną grafikę, powiedzieli naukowcy. System zarządzania kolorami jest częścią graficznego podsystemu Windows.

"Biorąc pod uwagę, że [luka] jest oparta na sieci i grafice, zdecydowanie chciałbyś zwrócić na nią szczególną uwagę" - powiedział Leatham.

Dwa sierpniowe aktualizacje ocenione jako ważne również powinny zainteresować specjalistów IT, nawet jeśli Microsoft ocenił je poniżej krytycznych aktualizacji. Są to MS08-047, który naprawia lukę w przetwarzaniu zasad IPSec i MS08-50, który łata lukę w programie Messenger.

Chociaż Microsoft nie ocenia wad, które pozwalają na ujawnienie informacji jako krytyczny, na lukę IPsec, która może przekształcić to, co ludzie uważają za zaufane zaszyfrowane tunele informacyjne w otwartą komunikację tekstową, może stać się tak dla niektórych firm intensywnie wykorzystujących protokół IPsec do przesyłania krytycznych danych, takich jak organizacje opieki zdrowotnej, które pracują z poufnymi informacjami o pacjencie, powiedział Leatham.

Podobnie, Microsoft nie ocenił słabości programu Messenger jako krytycznej, ponieważ dotyczy tylko ujawniania informacji; jednak otwiera to okazję do "ataku socjotechnicznego, którego jeszcze nie widzieliśmy" i powinno być traktowane poważnie, powiedział Amol Sarwate, kierownik laboratorium badawczego ds. luk w Qualys. Qualys, z siedzibą w Redwood Shores w Kalifornii, zapewnia usługi zarządzania lukami i zgodności z zasadami.

"Pozwala to atakującym zaprosić ludzi do konferencji audio lub wideo podszywając się pod ofiarę" - powiedział, zauważając, że jest to również luka zero-dniowa.

W zeszły czwartek Microsoft powiedział, że spodziewane jest udostępnienie 12 aktualizacji zabezpieczeń we wtorek jako część z comiesięcznego cyklu poprawek, nazwanego "Patch Tuesday" przez badaczy zajmujących się bezpieczeństwem, ale w ostatniej chwili wycofał jedną z tych aktualizacji ze względu na problemy z jakością, podała firma.

Microsoft nie dostarczył dalszych informacji o tym, czy i kiedy wyda aktualizację; jednak, gdy aktualizacje zostały wyciągnięte w ostatniej chwili przed, są one zwykle wydawane jako część cyklu patcha w następnym miesiącu.

Również w tym miesiącu komplikuje sprawę niedawny raport bezpieczeństwa i łatka Microsoft wysłana do narzędzia używanego przez wiele firm łatać aplikacje Microsoft, Windows Server Update Services, powiedział Leatham. Doradził, aby firmy upewniły się, że zaktualizują narzędzie i sprawdzą, czy działa poprawnie przed zainstalowaniem poprawek z sierpnia.

"Wystąpił dziwny błąd, który powodował, że niektóre łaty bezpieczeństwa nie zostały rozmieszczone w obszarach organizacji," powiedział Leatham. "Chcesz się upewnić, że serwer WSUS został załatany" przed instalacją kolejnej rundy aktualizacji.