Microsoft-patches Reihe von "drive-by-Angriff" bugs
Die anderen Fehler liegen in ein paar Windows-Media-Player-Datei-Formate; in der Windows-Implementierung von TCP/IP, Web Standard suite-Verbindung-Protokolle und des Betriebssystems wireless-Netzwerk die automatische Konfiguration service.
"Der Nebel der letzten Woche hat sich geklärt, aber was wir heute sehen ist eine Menge der Fehler in Verbindung mit Internet Explorer, die gekennzeichnet wurden als Windows-Sicherheitslücken vor", sagt Andrew Storms, director of security operations bei nCircle Network Security. Stürme bezog sich auf Microsofts advance notification, die am vergangenen Donnerstag, als das Unternehmen nur weitergegeben, dass es updates für Windows.
Drei der updates, sagte Stürmen-MS09-045, MS09-046 und MS-09-047 -- eigentlich sind besser kategorisiert als Internet Explorer (IE) Probleme, denn Hacker nutzen die updates sind' die vier bugs, die durch den IE. "Die sind das große problem in diesem Monat", argumentierte der Stürme", weil Sie beeinflussen, DH wenn der Benutzer macht normale Sache auf dem computer ... im Internet zu surfen."
MS09-045 - updates Windows-JavaScript - /JScript-parsing-engine zu stymie "drive-by" - Angriffe, Hacker-Handwerk-einfach durch das injizieren ein schädliches Skript in eine Webseite.
"In den meisten Fällen eine böswillige Angreifer kann leicht Missbrauch dieses Manko, indem Sie einfach die Nötigung ein Windows-Benutzer die Website eines Angreifers", sagte Derek Brown, ein Sicherheitsexperte mit 3Com ' s TippingPoint DVLabs. Der TippingPoint Zero Day Initiative-einer von zwei bug-bounty-Programme in Existenz -- gutgeschrieben wurde, wird von Microsoft reporting der Fehler.
Brown sagte, die Nutzer sollten erwarten, exploits, JavaScript - /JScript-Sicherheitsanfälligkeit in Kürze. "Aufgrund der breiten Verteilung der parsing-engine und die relative Leichtigkeit im Handwerk ein exploit, [Benutzer sollten] wenden Sie den patch sofort," sagte er in einer e-mail. Microsoft rangiert der bug wie eine "1" auf dem begleitenden ausnutzbarkeitsindex, was bedeutet, dass "konsistente exploit-code [ist] wahrscheinlich."
Alle derzeit unterstützten Windows-version enthält den Fehler. Nur Windows 7 und Windows Server 2008 R2-weder der, die offiziell freigegeben worden sind-sind immun, sagte Microsoft.
Aber während der Stürme drängte Benutzer zu priorisieren, die IE-Fehler, er hatte Angst, dass die Beratung könnte verloren gehen in der Aufmerksamkeit, MS09-048, welche updates von Windows TCP/IP-stack. "Ich denke, dass viele Leute konzentrieren sich auf das TCP/IP-problem, denn es ist schon eine Weile her, das wir gesehen haben, ein problem mit den IP-stack", sagte er.
Das wäre nicht smart. "Die Ausnutzung dieser wird sehr schwierig sein," Stürme vorhergesagt. Microsoft vereinbart, sagen, dass MS09-048-die drei separaten Schwachstellen hart werden würde, zu nutzen innerhalb der nächsten 30 Tage, indem Sie Sie entweder als eine "2" (inkonsistente exploit-code wahrscheinlich) oder eine "3" (konsistenter angreifercode unwahrscheinlich) in den index.
Es ist wahrscheinlich mehr Hacker craft Angriffe rund um die zwei Schwachstellen im Microsoft Security Bulletin MS09-047: Microsoft bewertet sowohl als "1" im ausnutzbarkeitsindex. "Jede der beiden Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eröffnet eine speziell gestaltete [Windows] media-Datei," Microsoft sagte in der Begleitung und Beratung.
Die beiden fehlerhaften Datei-Formate sind Advanced Systems Format (ASF) und MPEG-1 Audio Layer 3 (MP3).
In MS09-046, Microsoft gepatcht eine einzige Schwachstelle im DHTML Editing Component ActiveX-Steuerelement -- mit IE Unterstützung von dynamischen HTML-Inhalt Bearbeiten --, die ausgelöst werden könnte durch eine bösartige Website, die in einem drive-by-Angriff.
Das fünfte update MS09-049 patches, die eine kritische Sicherheitslücke in der Windows-wireless-Netzwerk-auto-Konfigurations-service.
"Auto-config-tools eignen sich, um Kerle", sagte Sturm.
Wie erwartet wird Microsoft nicht den patch der vor kurzem enthüllt Sicherheitslücke in seiner beliebten Internet Information Services (IIS) Web server. Stürme und andere security-Experten sagte Letzte Woche, es wäre sehr unwahrscheinlich, dass Microsoft würde in der Lage sein, zu basteln und zu testen, ein Update für den Fehler in der zur Verfügung stehenden Zeit. Microsoft hat jedoch versprochen, die IIS-patch an einem gewissen Punkt.
Noch war es ein Update für die "Blue Screen of Death" Schwachstelle, die ein hacker öffentlich erst spät gestern.
Die September-updates können heruntergeladen und installiert über die Microsoft Update und Windows Update services sowie über Windows Server Update Services.
Autor: Keylogger.Org Team