This is a machine translation. The original page (in English) is available here.
Окна
Мак ОС
Мобильный

Последние новости: 12 ноября 2016 - мы нашли новый обнаружить клавиатурных шпионов для вас. RSS-канал

Главная>Мировые новости>Майкрософт бросается муфты патч для "глубинного" ошибка в Windows, сторонних приложений

AnyKeylogger для Mac

Майкрософт бросается патч сцепления для "глубинного" ошибка в Windows, сторонних приложений

Аварийный патчи Microsoft планирует выбежать на этой неделе будет исправить недостаток, который проходит через несколько критических компонентов Windows и неизвестное количество сторонних приложений, по паре безопасности исследователей.

Во вторник, Microsoft будет шлепнуть постоянный патч на потоковое видео управления ActiveX используется Интернет Эксплорер (IE), решение Уязвимость, что он знал о, но не зафиксировал, за более чем год. Две недели назад компания Microsoft выпустила "бита" обновление, которое, вместо того чтобы решить основную проблему, отключил элемент управления ActiveX чтобы блокировать атаки, которые уже были в прогресс. Он также намечен исправления для Visual студии, популярная Платформа разработки компании Microsoft.

Хотя Microsoft не прописано точно, что это будет патч с двумя "внеполосного" обновления-термин для безопасности обновления, выпущенные за пределами компании раз в месяц расписание: ранее в этом месяце исследователи указывали пальцами на активные библиотеки шаблонных классов (ATL), код "библиотека" используется не только в Microsoft собственные разработчики, но и сторонние программисты для доступа к некоторым функциям в Windows.

Два немецких исследователей-Томас Dullien, генеральный директор и руководитель отдела исследований Zynamics GmbH и Денис Элсер -- врытые в ошибка в ActiveX, то "msvidctl.dll" файл, который транслирует видео. Они обнаружили, что это связано с простой ошибкой программирования в функция называется "АТЛ::CComVariant::ReadFromStream".

"Вместо передачи указателя на буфер данных к istream::читать, она взяла адрес (малый) локальная переменная, и передает эти адреса в качестве выходного буфера к istream::читать вместе с длиной чтения из потока ранее", - сказал Dullien, кто выходит под ником "Halvar flake и" когда пишут о уязвимости. "Кто-то явно запутался", - добавил он в запись в блоге опубликовано 9 июля.

Результат? Хотя Microsoft отключит ток нападений на элемент управления ActiveX, ошибка программирования присутствует в ряде других файлов Windows-по крайней мере пять в XP, по крайней мере, 13 в Vista, в том числе и те, решающее значение для IE, Windows медиа-плеер и служб терминалов.

"Ошибка на самом деле намного глубже, чем думает большинство людей", - сказал Dullien, "[и] убить-немного исправить явно недостаточно, так как там обязаны быть много других способов вызвать эту проблему."

Кроме того, сказал Dullien и Элсер, сторонние разработчики могут использовать те же ущербные библиотека для создания собственных приложений. "Ошибка может иметь прополз свой путь в сторонние компоненты, если кто-то за пределами корпорации имеют доступ к сломанной версии АТЛ", - сказал Dullien. "Если это произошло, то Microsoft, возможно, случайно ввел уязвимостей в сторонних продуктах." Dullien утверждал, что старые версии Flash от Adobe содержали уязвимости.

В последующих записях блога в пятницу, Dullien предположил, что исправления во вторник будет "латать кучу библиотек (АТЛ ?) в Visual студии", а также элементов ActiveX "msvidctl.dll" файл используется в IE.

Чтобы добавить топлива, что спекуляция, Брайан Кребс из "Вашингтон пост" цитирует Dullien на прошлой неделе, как говорят Майкрософт позвонил и попросил не комментировать эту Уязвимость.

Ни Dullien или Элсер ответили на просьбы о комментариях в воскресенье.

Другие исследователи в области безопасности либо отказались от комментариев или предположить Dullien на правильном пути.

"Я не думаю, что я могу сказать конкретно, но я готов сказать, что каждый раз, когда Microsoft берет на себя труд делать внеполосного [обновление], люди должны обратить внимание, и патч как можно скорее", - заявил Роджер Томпсон, главный научный сотрудник по безопасности поставщика программного обеспечения компании avg технологий, с помощью обмена мгновенными сообщениями на субботу. Две недели назад, Томпсон предупредил, что элемент уязвимости был главный кандидат на следующий вирусные атаки.

"Если что [Dullien] сообщает в своем блоге хотя бы отдаленно правильно, и если его звонок от Microsoft является достоверной, тогда потребители и партнеры Microsoft получили серьезные работы", - предупредил Эндрю Стормс, директор по безопасности операций в nCircle сетевой безопасности, в электронном письме в воскресенье.

Звоню в внеполосного обновляет "стенд-ап-и-обратить-внимание момент" бури также рекомендовал предприятиям тестовые патчи тщательно прежде чем они будут развернуты. "Предприятия могут захотеть подождать несколько дней и посмотреть, если их другие производители программного обеспечения должны сказать", - потребовал он. "Причина особой осторожностью? Похоже, что некоторые компании могут использовать злополучный Майкрософт функция и когда пропатчил, [что] может привести к некоторым неожиданным последствиям."

Штормы принес еще один повод для вторника исправлений от Microsoft. "Многие специалисты по безопасности будут в Лас-Вегасе Черная шляпа, которая сама по себе может прыгать-начал выпускать экстренный патч от Microsoft", - сказал он. Черная шляпа, которая стартовала в субботу, проходит через четверг. Dullien, как Halvar Хлопь, был намечен, чтобы провести тренировку в черной шляпе, по данным конференции расписание.

Томпсон откомандирован бури. "Я думаю, что следующая большая вещь, чтобы смотреть на это, чтобы увидеть, что выходит в черной шляпе", - сказал он. "Я действительно не знаю ничего, но я абсолютно уверен, что хакеры взлома."

"Больше, чтобы прибыть во вторник, когда мы получаем патчи, очевидно", - заключил бури.

Microsoft будет выдавать внеполосного обновления во вторник, 28 июля, через свое привычное обновления Windows и службы обновлений Windows (wsus), и механизмы. Если он выпускает их на тот же график, как его ежемесячное обновление, они должны быть доступны около 1 вечера et.

Позже в тот день-как 4 вечера и 7 вечера et -- Microsoft проведет веб-трансляцию, чтобы отвечать на вопросы клиентов. Как правило, Microsoft проводит такие трансляции на следующий день после его поставляет патчи.
Главная>Мировые новости>Майкрософт бросается муфты патч для "глубинного" ошибка в Windows, сторонних приложений
Важно! Установка средств мониторинга компьютеров Вы не владеете или не имеете разрешения для монитора может нарушить местным, государственным или Федеральным законом.
Предложить перевод