Microsoft veröffentlicht heute (11.10) ein Bündel von Patches für 15 Schwachstellen s Windows-Systeme und Windows Server und Anwendungen von Excel und Word, darunter eine, die wahrscheinlich ausgebeutet werden schnell von Hackern werden.
Keine Auswirkungen auf das neue Betriebssystem Windows 7 .
Die 15 Mängel mit sechs Sicherheits-Updates behoben heute veröffentlichten weniger als die Hälfte der Datensatz für das Paket im letzten Monat, dass Microsoft 34 Fehler in 13 separate Bulletins gepatcht.
Von den 15 Löchern heute wurden drei als "kritisch" eingestuft, die von Microsoft. Die restlichen 12 wurden als "wichtig", was ist das Niveau unmittelbar vor dem System der vier Ebenen der Klassifizierung von der Firma übernommen.
Bug Priorität
Experten sind sich einig, dass die Nutzer sollten zunächst die MS09-065 zu konzentrieren. Dieses Update, das eine kritische ist, wirkt sich auf alle Versionen von Windows immer noch berechtigt, zu unterstützen, mit Ausnahme von Windows 7 und Windows Server 2008 R2.
"Die Anfälligkeit des Kerns von Windows ist bei weitem das wichtigste", sagte Andrew Storms, Direktor für Security Operations bei nCircle Network Security.
"Diese Lücke kann Internet Explorer als Angriffsvektor nutzen, und dies ist ein Fall, in dem der Benutzer nicht benachrichtigt werden oder dazu aufgefordert werden. Dieses Szenario ist durchaus ein Drive-by-Attacke. "
Richie Lai, der Leiter des Vulnerability Research bei Sicherheitsunternehmen Qualys ist, vereinbart. "Jeder, der mit Internet Explorer (IE) ist in Gefahr, hier, auch wenn der Fehler ist nicht im Browser, sondern im Kernel-Modus-Treiber Win32k."
In einer Drei
Stürme und Lai bezieht sich auf einen Fehler als kritisch markiert in MS09-065, das ist eigentlich ein Trio von Schwachstellen .
Laut Microsoft, der Windows-Kernel falsch interpretiert Quellen wie Embeded OpenType (EOT), die eine kompakte Form der Schriftarten für Webseiten konzipiert sind. EOT-Fonts können auch in Word und PowerPoint verwendet werden.
So könnten die Hacker auch bösartige Angriffe durch das Anbringen Dokumente in Word und PowerPoint, E-Mail, die versehentlich von den Benutzern geöffnet würde zu starten.
Als Alternative zur Anwendung der Fix können Benutzer einfach sperren die wahrscheinlichsten Angriffen durch die Deaktivierung IE-Unterstützung für eingebettete Schriften. "Es ist ein Low-Impact", erklärt Lai. "Das Schlimmste, was passieren kann ist, dass einige Websites möglicherweise hässlich aussehen."
Aber sein Rat würde immer noch offen für PCs über bösartige Word-Dokumente und PowerPoint, ein Thema, das auch Microsoft im Security Bulletin gemacht anzugreifen.
Fehlerfreie
Wie Windows 7 und Windows Server 2008 R2 sind nicht das Ziel von MS09-065, davon ausgegangen, Stürme und Lai, dass Microsoft den Bug erwischt, bevor es eingepackt den endgültigen Code oder RTM (Release To Manufacturing)-System Betriebs-, und erst jetzt Schritte, um die Lücken in Windows 2000, XP und Vista und Server 2003 und 2008 stecken genommen.
"Es ist wahrscheinlich, dass Windows 7 Release Candidate (RC) anfällig ist", sagte Storms stellte fest, dass Microsoft nicht die Politik der Bereitstellung von Sicherheits-Updates für frühere Versionen eines Betriebssystems nach der finalen Version freigegeben wird.
"Deshalb sind Sie nicht sehen, Microsoft Patches Windows 7 RC oder Beta", sagte Storms. "Wer die RC laufen hat sollten aufpassen und ein Upgrade auf die RTM."
Aber während Storms spekuliert, dass Microsoft wusste das EOT-Fonts Fehler war eine Frage der Sicherheit und wartete, bis jetzt zu flicken älteren Windows-Lai vertritt die These, dass Microsoft bis vor kurzem keine Ahnung, dass das Problem auch erreicht hatte älter als Windows 7.
"Ich denke, sie fixiert diesen Bug als Teil des Codes Desinfektion während des Entwicklungszyklus (Windows 7). Erst vor kurzem wurde bekannt, und dann werden sie fixiert den anderen Fenstern. "
Öffentliche Anerkennung
Microsoft erkennt, dass Informationen über die EOT Schwachstelle öffentlich wurde, bevor der Patch heute veröffentlicht.
"Unsere ersten Bericht durch verantwortungsvolle Offenlegung vorgesehen war, die Verletzlichkeit später wurde öffentlich von einer unabhängigen Stelle offen gelegt", sagt der Ankündigung, die den Bericht begleitet.
Storms denkt Hacker werden die Verwundbarkeit der EOT schnell zu nutzen.
"Es ist etwas, das in den nächsten Wochen folgen, um zu kommen, nicht nur wegen seiner Neuheit, sondern auch, weil es durch IE, welche eine einfache Weg ist, sowie durch Word-und PowerPoint-Dokumente ausgenutzt werden kann verdient", sagte er.
Microsoft gab auch kritische Updates für Vista und Server 2008 und Windows Server 2000.
In letzterem ist das Problem ein Bug in der Implementierung der Lizenzprotokollierdienst Server, ein Werkzeug, ursprünglich entwickelt, um die Verwaltung von Client-Server-Access-Lizenzen (CAL).
Storms empfiehlt, dass Benutzer dieser Systeme implementieren dringend das Update, auch wenn die Maschinen wahrscheinlich sind gut geschützt.
"Windows 2000 Server hat die Logging-Server standardmäßig aktiviert, aber solche Systeme sind hinter mehreren Firewalls wahrscheinlich, und die Leute, die Windows 2000 ausgeführt wissen, dass es eine ältere Version ist und entsprechend handeln."
Windows und Mac
Excel-und Word-Updates erhielten auch heute. Acht Sicherheitslücken wurden in MS09-067 für Excel und Word in der MS09-068 behandelt. Beide Updates betreffen auch Probleme mit Office 2004 und Office 2008 für Mac
"Dies sind die Art von Dateiformat Sicherheitslücken wir viele Male gesehen habe in der Vergangenheit", sagte Storms, dann erinnert, dass die Wanzen die älteren binären Formate und nicht auf die neue XML-basierte Formate, die in Office 2007 debütierte ruinieren Windows und Office 2008 für Mac
Die Sicherheits-Updates in diesem Monat können heruntergeladen und installiert werden über Microsoft Update und Windows Update, als auch über Windows Server Update Services.
