Microsoft liefert patches für IE, code-Bibliothek
Wie versprochen, wird Microsoft heute gepatcht sechs Schwachstellen im Internet Explorer (IE) und Visual Studio mit dem ersten "out-of-cycle" update, da es verstopft ein Loch im letzten Oktober, dass der Conficker-Wurm später verwendet, um den grassierenden ausgeführt.
Die beiden updates MS09-034 und MS09-035, Feste drei "kritische" Fehler im IE und drei "moderaten" Fehler in Visual Studio. Aber in einer ungewöhnlichen Umkehrung, Microsoft deutete an, dass der Fehler tagged als Moderat tatsächlich die schwersten viel.
Das ist, weil die Visual Studio-bugs waren, als drei Forscher behauptete Anfang dieser Woche, in einem " code "Bibliothek" genannt Active Template Library (ATL). Diese Bibliothek wurde von Microsoft verwendet, und eine unbekannte Zahl von third-party-Entwickler zum erstellen von ActiveX-Steuerelementen und Komponenten für Ihre Anwendungen.
"Das ist ein Komplexes Thema, um eine umfassende Antwort auf eine Bibliothek Schwachstelle", so Mike Reavey, Direktor des Microsoft Security Response Center (MSRC), sagte heute. "Library Probleme sind schwer zu behandeln, und nehmen viel von der Zusammenarbeit zu lösen...."
Das ist, weil, per definition, eine Bibliothek von Entwicklern benutzt wird, Kurbel aus Ihren eigenen code. Also ein Fehler in der Bibliothek bedeutet, dass die daraus resultierenden Programmier-Produkt -- ein ActiveX-Steuerelement oder ein .dll notwendig für eine Anwendung-auch die Schwachstelle enthält.
Microsoft machte klar, dass, obwohl die Formulierung war dicht. "Microsoft empfiehlt, dass Entwickler, die integrierten Steuerelemente oder Komponenten mit ATL sofortige Maßnahmen ergreifen, um zu überprüfen, ob Ihre Steuerelemente anfällig sind, und befolgen Sie die Anleitungen zum erstellen von Steuerelementen und Komponenten, die nicht verwundbar sind", erklärte das Unternehmen in einer ungewöhnlichen zugehörigen security advisory, dass dargelegt ist, die Risiken für Entwickler, IT-professionals und Verbraucher.
Das Unternehmen leitete auch eine Website gewidmet, um die ATL-Fehler heute.
Zum Schutz von Windows-Benutzer in der Zwischenzeit, Microsoft hat sich die Visual Studio-update mit einer für den IE. "MS09-034 blockiert alle derzeit bekannten Angriffe, während diejenigen, die [anfällige Steuerelemente und Komponenten] sind von der Aktualisierung durch Ihre Entwickler", so Reavey.
Die Zugänge im IE blockieren Sie nicht alle anfälligen ActiveX-Steuerelemente, gab er zu, aber anstatt zu überprüfen, um zu sehen, ob diese Steuerelemente verwenden, die spezifischen Methoden bekannt, die zum auslösen des bugs; es blockiert dann diejenigen, die tun. In Orten, Microsoft beschrieben, die den Schutz vage, nannte es eine "neue defense-in-depth-Technologie."
Tyler Reguly, eine in Toronto ansässige Forscher an nCircle Security, sagte, dass die Nutzer waren zwischen einem Felsen und einer harten Stelle heute. "Das ausrollen der IE-patch so schnell wie möglich ist der beste Rat für jeden," sagte Reguly. "Aber jetzt, dass die Angaben über die Sicherheitsanfälligkeiten in der ATL, jeder kann Graben in den patches für mehr Informationen. Das stellt sich mir die Frage, ob die third-party-Anwendungen sind in einem größeren Risiko jetzt und für die nächsten paar Wochen, als Sie vorher waren."
Reavey anerkannt, dass es schwierig zu sagen, wie viele Entwickler nutzen den buggy ATL, und damit, wie viele gefährdete Teile des Codes im Umlauf sind.
Microsoft ist weiter zu untersuchen, Ihre eigenen code für die verwendet, die fehlerhaft Bibliothek, Reavey Hinzugefügt -- einige Forscher sagte früher in diesem Monat, dass sowohl Windows XP und Vista enthalten wichtige Dateien beherbergen die Fehler -- und arbeitet mit software von Drittanbietern Entscheidungsträger, um Ihnen zu helfen entdecken Sie schlechten code.
Die out-of-cycle-updates können heruntergeladen und installiert über die Microsoft Update und Windows Update services sowie über Windows Server Update Services.
Datum der Veröffentlichung: Die beiden updates MS09-034 und MS09-035, Feste drei "kritische" Fehler im IE und drei "moderaten" Fehler in Visual Studio. Aber in einer ungewöhnlichen Umkehrung, Microsoft deutete an, dass der Fehler tagged als Moderat tatsächlich die schwersten viel.
Das ist, weil die Visual Studio-bugs waren, als drei Forscher behauptete Anfang dieser Woche, in einem " code "Bibliothek" genannt Active Template Library (ATL). Diese Bibliothek wurde von Microsoft verwendet, und eine unbekannte Zahl von third-party-Entwickler zum erstellen von ActiveX-Steuerelementen und Komponenten für Ihre Anwendungen.
"Das ist ein Komplexes Thema, um eine umfassende Antwort auf eine Bibliothek Schwachstelle", so Mike Reavey, Direktor des Microsoft Security Response Center (MSRC), sagte heute. "Library Probleme sind schwer zu behandeln, und nehmen viel von der Zusammenarbeit zu lösen...."
Das ist, weil, per definition, eine Bibliothek von Entwicklern benutzt wird, Kurbel aus Ihren eigenen code. Also ein Fehler in der Bibliothek bedeutet, dass die daraus resultierenden Programmier-Produkt -- ein ActiveX-Steuerelement oder ein .dll notwendig für eine Anwendung-auch die Schwachstelle enthält.
Microsoft machte klar, dass, obwohl die Formulierung war dicht. "Microsoft empfiehlt, dass Entwickler, die integrierten Steuerelemente oder Komponenten mit ATL sofortige Maßnahmen ergreifen, um zu überprüfen, ob Ihre Steuerelemente anfällig sind, und befolgen Sie die Anleitungen zum erstellen von Steuerelementen und Komponenten, die nicht verwundbar sind", erklärte das Unternehmen in einer ungewöhnlichen zugehörigen security advisory, dass dargelegt ist, die Risiken für Entwickler, IT-professionals und Verbraucher.
Das Unternehmen leitete auch eine Website gewidmet, um die ATL-Fehler heute.
Zum Schutz von Windows-Benutzer in der Zwischenzeit, Microsoft hat sich die Visual Studio-update mit einer für den IE. "MS09-034 blockiert alle derzeit bekannten Angriffe, während diejenigen, die [anfällige Steuerelemente und Komponenten] sind von der Aktualisierung durch Ihre Entwickler", so Reavey.
Die Zugänge im IE blockieren Sie nicht alle anfälligen ActiveX-Steuerelemente, gab er zu, aber anstatt zu überprüfen, um zu sehen, ob diese Steuerelemente verwenden, die spezifischen Methoden bekannt, die zum auslösen des bugs; es blockiert dann diejenigen, die tun. In Orten, Microsoft beschrieben, die den Schutz vage, nannte es eine "neue defense-in-depth-Technologie."
Tyler Reguly, eine in Toronto ansässige Forscher an nCircle Security, sagte, dass die Nutzer waren zwischen einem Felsen und einer harten Stelle heute. "Das ausrollen der IE-patch so schnell wie möglich ist der beste Rat für jeden," sagte Reguly. "Aber jetzt, dass die Angaben über die Sicherheitsanfälligkeiten in der ATL, jeder kann Graben in den patches für mehr Informationen. Das stellt sich mir die Frage, ob die third-party-Anwendungen sind in einem größeren Risiko jetzt und für die nächsten paar Wochen, als Sie vorher waren."
Reavey anerkannt, dass es schwierig zu sagen, wie viele Entwickler nutzen den buggy ATL, und damit, wie viele gefährdete Teile des Codes im Umlauf sind.
Microsoft ist weiter zu untersuchen, Ihre eigenen code für die verwendet, die fehlerhaft Bibliothek, Reavey Hinzugefügt -- einige Forscher sagte früher in diesem Monat, dass sowohl Windows XP und Vista enthalten wichtige Dateien beherbergen die Fehler -- und arbeitet mit software von Drittanbietern Entscheidungsträger, um Ihnen zu helfen entdecken Sie schlechten code.
Die out-of-cycle-updates können heruntergeladen und installiert über die Microsoft Update und Windows Update services sowie über Windows Server Update Services.
Autor: Keylogger.Org Team
