This is a machine translation. The original page (in English) is available here.

Ultime notizie dal mondo: - Perché gli USA stanno valutando TikTok Ban Feed RSS

Casa>Notizie dal mondo>Microsoft offre patch di emergenza per IE, libreria di codice
Top Registratore di tasti
Vedi di più...

Microsoft offre patch di emergenza per IE, libreria di codice

  •  
Valutazione degli utenti: nessuna recensione. Siate i primi a scrivere una recensione di esso! 0 - 1 voti
Come promesso, oggi Microsoft patch sei vulnerabilità in Internet Explorer (IE) e Visual Studio con il primo "fuori ciclo" aggiornamento in quanto inserito in un foro, lo scorso ottobre, che il worm Conficker successivamente utilizzato per l'esecuzione dilagante.

I due aggiornamenti, MS09-034 e MS09-035, fissa tre "critiche" falle di IE e tre "moderato" errori in Visual Studio. Ma in un'insolita inversione, Microsoft ha accennato che il bug tagged as moderato può effettivamente essere più grave del lotto.

Questo perché il Visual Studio bug sono stati tre ricercatori hanno affermato all'inizio di questa settimana, in un codice di "libreria" doppiato ATL (Active Template Library). Tale libreria è stato utilizzato da Microsoft e un numero imprecisato di sviluppatori di terze parti per creare controlli ActiveX e i componenti delle loro applicazioni.

"Questo è un problema complesso, che fornisce una risposta globale a una libreria di vulnerabilità," Mike Reavey, direttore del Microsoft Security Response Center (MSRC), ha detto oggi. "Biblioteca problemi sono difficili da affrontare, e prendere un sacco di collaborazione per risolvere...."

Questo perché, per definizione, una libreria è utilizzata dagli sviluppatori per sfornare il proprio codice. Così un difetto in biblioteca significa che la risultante di programmazione del prodotto -- un controllo ActiveX o un .dll necessaria per un'applicazione -- contiene anche il difetto.

Microsoft ha reso chiaro che, anche se il fraseggio era fitta. "Microsoft raccomanda vivamente che gli sviluppatori che hanno costruito controlli o componenti con ATL prendere un'azione immediata per valutare la loro controlli per l'esposizione di una condizione di vulnerabilità e seguire le indicazioni fornite per creare controlli e componenti che non sono vulnerabili," ha detto la società in un insolito accompagnamento avviso di sicurezza che ha illustrato i rischi per gli sviluppatori, professionisti IT e i consumatori.

La società ha anche lanciato un sito Web dedicato all'ATL bug di oggi.

Per proteggere gli utenti di Windows nel frattempo, Microsoft ha collaborato l'aggiornamento di Visual Studio con uno per IE. "MS09-034 blocchi attualmente noto attacchi, mentre quelli [vulnerabili controlli e componenti] sono in fase di aggiornamento da parte dei loro sviluppatori", ha detto Reavey.

Le aggiunte IE non bloccare tutti i controlli ActiveX vulnerabili, ha ammesso, ma invece di controllare per vedere se i controlli, a utilizzare metodi specifici noti per attivare il bug, si blocca quelli. In luoghi, Microsoft ha descritto la protezione vagamente, definendola una "nuova difesa in profondità la tecnologia".

Tyler Reguly, una con sede a Toronto, ricercatore presso nCircle di Sicurezza, ha dichiarato che gli utenti sono stati tra una roccia e un posto duro oggi. "Rolling out IE patch il più presto possibile è il miglior consiglio per tutti", ha detto Reguly. "Ma ora che i dettagli sono sulla vulnerabilità di ATL, chiunque può scavare la patch per ulteriori informazioni. Che mi fa porre delle domande se le applicazioni di terze parti sono ad un rischio maggiore, ora e per il prossimo paio di settimane, di quello che erano prima."

Reavey riconosciuto che è difficile dire come molti sviluppatori usato il passeggino, ATL, e così come molti vulnerabili pezzi di codice possono essere in circolazione.

Microsoft sta continuando a indagare il proprio codice per gli usi dell'imperfetto biblioteca, Reavey aggiunto, alcuni ricercatori hanno detto all'inizio di questo mese che sia Windows XP e Vista che contengono i file critici harboring il bug -- e sta lavorando con software di terze parti produttori per aiutarli a scoprire il codice cattivo.

Il ciclo di aggiornamento può essere scaricato e installato tramite Microsoft Update e Windows Update services, nonché attraverso Windows Server Update Services.
Data di pubblicazione:
Autore:
Casa>Notizie dal mondo>Microsoft offre patch di emergenza per IE, libreria di codice
IMPORTANTE! Computer di installazione di strumenti di monitoraggio sui computer che non possiedono o non hai il permesso di monitorare può violare locali, statali o federali.