This is a machine translation. The original page (in English) is available here.
Окна
Мак ОС
Мобильный

Последние новости: 19 сентября, 2016 - мы добавили новые категории для контроля испытаний продукции: микрофон и веб-камера, запись и т. д... RSS канал

Главная>Мировые новости>Майкрософт бросается муфты патч для "глубинного" ошибка в Windows, сторонних приложений

AnyKeylogger для Mac

Корпорация Microsoft спешит патч сцепления для "глубинного" ошибка в Windows, сторонних приложений

Аварийный патчи Microsoft планирует выбежать на этой неделе будет исправить недостаток, который проходит через несколько критических компонентов Windows и неизвестное количество сторонних приложений, по паре безопасности исследователей.

Во вторник, Microsoft будет шлепнуть постоянный патч на потоковое видео управления ActiveX используется Интернет Эксплорер (IE), решение Уязвимость, что он знал о, но не зафиксировал, за более чем год. Две недели назад компания Microsoft выпустила "бита" обновление, которое, вместо того чтобы решить проблему, отключить элемент управления ActiveX чтобы блокировать атаки, которые уже были в прогресс. Он также намечен исправления для Visual студии, популярная Платформа разработки компании Microsoft.

Хотя Microsoft не прописано точно, что это будет патч с двумя "внеполосного" обновления-термин для безопасности обновления, выпущенные за пределами компании раз в месяц график -- ранее в этом месяце исследователи указывали пальцами на активные библиотеки шаблонных классов (ATL), код "библиотека" используется не только Майкрософт разработчики, но и сторонние программисты для доступа к некоторым функциям в Windows.

Два немецких исследователей-Томас Dullien, генеральный директор и руководитель отдела исследований Zynamics GmbH и Денис Элсер -- врытые в ошибка в ActiveX, то "msvidctl.dll" файл, который транслирует видео. Они обнаружили, что оно исходит из простой ошибкой программирования в функция называется "АТЛ::CComVariant::ReadFromStream".

"Вместо передачи указателя на буфер данных к istream::читать, она взяла адрес (малый) локальная переменная, и передает эти адреса в качестве выходного буфера к istream::читать вместе с длиной чтения из потока раньше", - говорит Dullien, кто выходит под ником "Halvar flake и" когда пишут о уязвимости. "Кто-то явно запутался", - добавил он в блоге запись опубликовал 9 июля.

Результат? Хотя Microsoft отключит ток нападений на элемент управления ActiveX, ошибка программирования присутствует и в ряде других файлов для Windows-по крайней мере, пяти в XP, по крайней мере 13 в Vista, в том числе и те, решающее значение для IE, Windows медиа-плеер и служб терминалов.

"Ошибка на самом деле намного глубже, чем думает большинство людей", - сказал Dullien, "[и] убить-немного исправить явно недостаточно, так как там обязаны быть многими другими способами инициирования вопроса".

Кроме того, сказал Dullien и Элсер сторонние разработчики могут использовать те же ущербные библиотека для создания собственных приложений. "Ошибка, возможно, прополз свой путь в сторонние компоненты, если кто-то за пределами корпорации имеют доступ к сломанной версии АТЛ", - сказал Dullien. "Если это произошло, то Microsoft, возможно, случайно ввел уязвимостей в сторонних продуктах." Dullien утверждал, что старые версии Flash от Adobe содержали уязвимости.

В последующих записях блога в пятницу, Dullien предположил, что устраняет во вторник будет "латать кучу библиотек (АТЛ ?) в Visual студии", а также элемент "msvidctl.dll" файл используется в IE.

Чтобы добавить топлива, что спекуляция, Брайан Кребс "Вашингтон пост" цитирует Dullien на прошлой неделе, как говорят Майкрософт позвонил и попросил не комментировать данную Уязвимость.

Ни Dullien или Элсер ответили на просьбы о комментариях в воскресенье.

Другие исследователи безопасности либо отказались от комментариев или предположить Dullien на правильном пути.

"Я не думаю, что я могу сказать конкретно, но я готов сказать, что каждый раз, когда Microsoft берет на себя труд делать внеполосного [обновление], люди должны обратить внимание, и патч как можно скорее", - заявил Роджер Томпсон, главный научный сотрудник по безопасности поставщика программного обеспечения компании avg технологий, с помощью обмена мгновенными сообщениями на субботу. Две недели назад, Томпсон предупредил, что элемент уязвимости был главный кандидат на следующий вирусные атаки.

"Если то, что [Dullien] сказал в своем блоге, хотя бы отдаленно правильно, и если его звонок от Microsoft является достоверной, то потребители и партнеры Microsoft получили серьезные работы", - предупредил Эндрю Стормс, директор по безопасности операций в nCircle сетевой безопасности, в электронном письме в воскресенье.

Называя внеполосного обновляет "стенд-ап-и-обратить-внимание момент" бури также рекомендовал предприятиям тестовые патчи тщательно прежде чем они будут развернуты. "Предприятия могут захотеть подождать несколько дней и посмотреть, если их другие производители программного обеспечения должны сказать", - заверяет он. "Причина особой осторожностью? Похоже, что некоторые компании могут использовать злополучный Майкрософт функция и когда пропатчил, [что] может привести к некоторым неожиданным последствиям."

Штормы принес еще один повод для вторника исправлений от Microsoft. "Многие специалисты по безопасности будут в Лас-Вегасе, Черная шляпа, которая сама по себе может быть толчком выпустить экстренный патч от Microsoft", - сказал он. Черная шляпа, которая стартовала в субботу, проходит в четверг. Dullien, как Halvar Хлопь, был намечен, чтобы провести тренировку в черной шляпе, по данным конференции по расписанию.

Томпсон прикомандированных бури. "Я думаю, что следующая большая вещь, чтобы смотреть на это, чтобы увидеть, что выходит в черной шляпе", - сказал он. "Я действительно не знаю ничего, но я абсолютно уверен в том, что хакеры взлома."

"Больше, чтобы прибыть во вторник, когда мы получаем патчи, очевидно", - заключил бури.

Microsoft будет выдавать внеполосного обновления во вторник, 28 июля, через обычные обновления Windows и службы обновлений Windows (wsus), и механизмы. Если она выпускает их на тот же график, как его ежемесячное обновление, они должны быть доступны около 1 вечера et.

Позже в тот же день -- на 4 вечера и 7 вечера et -- Microsoft проведет веб-трансляцию, чтобы отвечать на вопросы клиентов. Обычно Microsoft проводит такие трансляции на следующий день после его поставляет патчи.
Главная>Мировые новости>Майкрософт бросается муфты патч для "глубинного" ошибка в Windows, сторонних приложений
Важно! Установка средств мониторинга компьютеров Вы не владеете или не имеете разрешение монитора может нарушить местным, государственным или Федеральным законом.
Предложить перевод