This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Ultime notizie: 12 novembre, 2016 - Abbiamo trovato un nuovo non rilevabile Registratore di tasti per voi. Feed RSS

Home>notizie dal Mondo>Microsoft si precipita frizione patch per 'profonda' di bug in Windows, applicazioni di terze parti

AnyKeylogger per Mac

Microsoft si precipita frizione patch per 'profonda' di bug in Windows, applicazioni di terze parti

La patch di emergenza Microsoft prevede di correre questa settimana sarà la correzione di un difetto che passa attraverso numerosi componenti critici di Windows e un numero imprecisato di applicazioni di terze parti, secondo una coppia di ricercatori di sicurezza.

Martedì, Microsoft schiaffo una patch permanente su un video in streaming controllo ActiveX utilizzato da Internet Explorer (IE), affrontando una vulnerabilità che ha saputo, ma non fissa, per più di un anno. Due settimane fa, Microsoft ha rilasciato un "kill bit" update che, piuttosto che affrontare il problema di fondo, disabilitato il controllo ActiveX per ostacolare gli attacchi che erano già in corso. È anche previsto un fix per Visual Studio, Microsoft, la popolare piattaforma di sviluppo.

Sebbene Microsoft non è scritto esattamente quello che la patch verrà con i due "out-of-band" aggiornamenti -- il termine per gli aggiornamenti di sicurezza rilasciati al di fuori della società, una volta-un-mese pianificazione -- inizio di questo mese i ricercatori punta il dito su Active Template Library (ATL), un codice "biblioteca" utilizzato non solo da Microsoft agli sviluppatori, ma anche da software di terze parti ai programmatori di accedere ad alcune funzionalità all'interno di Windows.

Due ricercatori tedeschi -- Thomas Dullien, l'amministratore delegato e direttore della ricerca presso Zynamics GmbH, e Dennis Elser -- scavato il bug all'interno del controllo ActiveX, "msvidctl.dll" file, che consente di trasmettere contenuti video. Hanno scoperto che esso è nato da un semplice errore di programmazione in una funzione chiamata "ATL::CComVariant::ReadFromStream."

"Invece di passare un puntatore a un buffer di dati per IStream::Leggi, ha preso l'indirizzo di un (piccolo) variabile locale, e passa l'indirizzo del buffer di output per IStream::Leggi, insieme con una lunghezza di leggere dallo stream in precedenza", ha detto Dullien, che va sotto il moniker "Alver Flake", quando si scrive vulnerabilità di sicurezza. "Qualcuno chiaramente un po 'confusa", ha aggiunto in un blog pubblicato il 9 luglio.

Il risultato? Anche se Microsoft spento la corrente attacchi contro il controllo ActiveX, l'errore di programmazione è presente in numerosi altri file di Windows -- almeno cinque in XP, almeno 13 in Vista-anche quelle cruciali per IE, Windows Media Player e di Servizi Terminal.

"Il bug è in realtà molto a fondo di quanto si creda", ha detto Dullien, "[e] il kill bit correzione è chiaramente insufficiente, in quanto ci sono tenuti ad essere molti altri modi per attivare il problema."

Inoltre, ha detto Dullien e Elser, gli sviluppatori di terze parti possono avere usato la stessa viziata libreria per creare le proprie applicazioni. "Il bug potrebbe essere weaseled la sua strada in componenti di terze parti, se qualcuno al di fuori di Microsoft hanno avuto accesso alla rotto ATL versioni", ha detto Dullien. "Se questo è successo, Microsoft potrebbe avere accidentalmente introdotto le vulnerabilità di sicurezza in prodotti di terze parti." Dullien sostenuto che le vecchie versioni di Adobe Flash contenuta la vulnerabilità.

In un follow-up blog venerdì, Dullien ipotizzato che martedì correzioni "patch di un gruppo di librerie (ATL ?) in Visual Studio", come pure gli ActiveX "msvidctl.dll" file utilizzato da IE.

Ad aggiungere benzina che la speculazione, Brian Krebs del Washington Post citato Dullien, la settimana scorsa, dicendo che la Microsoft aveva chiamato e gli ha chiesto di non commentare ulteriormente la vulnerabilità.

Né Dullien o Elser risposto alle richieste di commento domenica.

Altri ricercatori di sicurezza sia rifiutato di commentare o assunto Dullien è sulla strada giusta.

"Io non penso di poter commentare in particolare, ma io sono pronto a dire che ogni volta che Microsoft va per la fatica di fare un out-of-band [aggiornamento] la gente, probabilmente, dovrebbe prestare attenzione, e la patch non appena possibile," ha detto Roger Thompson, chief research officer di sicurezza fornitore di software AVG Technologies, tramite la messaggistica istantanea su sabato. Due settimane fa, Thompson ha avvertito che l'ActiveX di vulnerabilità è stato un ottimo candidato per un altro Conficker-scala di attacco.

"Se ciò che [Dullien] ha detto sul suo blog che è anche lontanamente corretto, e se la sua chiamata da parte di Microsoft è credibile, i consumatori e i partner di Microsoft hanno avuto qualche serio lavoro in anticipo," ha avvertito Tempeste Andrew, direttore delle operazioni di sicurezza a nCircle di Sicurezza di Rete, in una e-mail di domenica.

Chiama l'out-of-band aggiornamenti "stand-up-and-pay-attenzione momento," Tempeste anche raccomandato che le imprese testare la patch accuratamente prima di essere distribuito. "Le imprese potrebbero voler aspettare un paio di giorni e vedere se gli altri produttori di software hanno da dire", ha esortato. "La ragione per la cautela in più? Sembra che alcune aziende possono utilizzare la sfortunata Microsoft funzione e quando patchato, [che] può causare alcune conseguenze impreviste."

Tempeste offerto un altro motivo per Microsoft martedì delle patch. "Molti degli stessi professionisti della sicurezza sarà a las Vegas per il Cappello Nero, che di per sé può avere un avviamento di Microsoft di emergenza e di rilascio delle patch," ha detto. Black Hat, che ha dato il via sabato, attraversa giovedì. Dullien, come Alver Fiocco, è stato previsto per condurre una sessione di formazione presso Cappello Nero, secondo la conferenza di pianificazione.

Thompson distaccato Tempeste. "Penso che la prossima grande cosa da guardare per vedere cosa ne viene fuori alla Black Hat", ha detto. "Io davvero non so nulla, ma sono abbastanza sicuro che gli hacker sono hacker".

"Più a venire martedì, quando abbiamo la patch, ovviamente", ha concluso Tempeste.

Microsoft rilascerà l'out-of-band aggiornamenti di martedì 28 luglio, tramite il suo consueto Aggiornamento di Windows e Windows Server Update Services (WSUS) meccanismi. Se si rilascia l'orario mensile di aggiornamento, che dovrebbe essere disponibile intorno a 1 p.m. ET.

Più tardi nella giornata, sia a 4 ore e 7 pm ET -- Microsoft ospiterà un webcast per prendere le domande del cliente. In genere, i padroni di casa Microsoft, ad webcast il giorno dopo che fornisce le patch.
Home>notizie dal Mondo>Microsoft si precipita frizione patch per 'profonda' di bug in Windows, applicazioni di terze parti
IMPORTANTE! Computer di installazione di strumenti di monitoraggio sui computer che non possiedono o non hai il permesso di monitorare può violare locali, statali o federali.
Suggest translation