Microsoft ofrece revisiones de emergencia para, por ejemplo, código de la biblioteca
Como había prometido, Microsoft hoy parcheado seis vulnerabilidades en Internet Explorer (IE) y Visual Studio con el primer "fuera de ciclo" actualizar desde enchufado un agujero en octubre pasado que el gusano Conficker más tarde se utiliza para ejecutar rampante.
Las dos actualizaciones, MS09-034 y MS09-035, fija tres "críticas" defectos en IE y tres "moderada" errores en Visual Studio. Pero en una inusual inversión, Microsoft dio a entender que los errores marcados como moderada en realidad puede ser el más grave de los muchos.
Eso es porque el Visual Studio errores, como tres investigadores afirmó a principios de esta semana, en un código de "biblioteca" dobló Active Template Library (ATL). La biblioteca fue utilizado por Microsoft, y un número desconocido de los desarrolladores de terceros para crear controles ActiveX y los componentes de sus aplicaciones.
"Este es un tema complejo, de ofrecer una respuesta integral a una biblioteca de vulnerabilidad," Mike Reavey, director de Microsoft Security Response Center (MSRC), dijo que el día de hoy. "Biblioteca de temas son difíciles de tratar, y tomar un montón de colaboración para resolver...."
Eso es porque, por definición, una biblioteca es utilizada por los desarrolladores para producir su propio código. Por lo que una falla en la biblioteca significa que el resultado de la programación del producto -- un control ActiveX o una .dll necesarios para una aplicación, también contiene el defecto.
Microsoft dejó claro, aunque la redacción era densa. "Microsoft recomienda que los desarrolladores que han creado controles o componentes con ATL tomar medidas de inmediato para evaluar sus controles de la exposición a una situación de vulnerabilidad y seguir la guía que se proporciona para crear controles y componentes que no son vulnerables," dijo la compañía en un inusual que acompaña asesor de seguridad que se detallan los riesgos que supone para los desarrolladores, profesionales de TI y los consumidores.
La compañía también lanzó un sitio Web dedicado a la ATL errores de hoy.
Para proteger a los usuarios de Windows mientras tanto, Microsoft se ha asociado la actualización de Visual Studio con una para IE. "MS09-034 bloquea todos los ataques conocidos, mientras que aquellos [los controles y componentes vulnerables] están siendo actualizados por sus desarrolladores," dijo Reavey.
Las adiciones, es decir, no se bloquear todos los controles ActiveX vulnerables, admitió, pero en lugar de comprobar si los controles de uso de métodos específicos conocidos por desencadenar los errores; a continuación, los bloques de los que lo hacen. En los lugares, Microsoft se describe la protección vagamente, que calificó de una "nueva defensa-en-profundidad de la tecnología".
Tyler Reguly, una con sede en Toronto, investigador de Seguridad de nCircle, dijo que los usuarios tenían entre una roca y un lugar duro día de hoy. "El despliegue de la IE parche tan pronto como sea posible, es el mejor consejo para todos", dijo Reguly. "Pero ahora más detalles sobre las vulnerabilidades, cualquiera puede cavar en los parches para obtener más información. Que me hace la pregunta de si las aplicaciones de terceros que están en un mayor riesgo ahora, y para el próximo par de semanas, de lo que eran antes."
Reavey, reconoció que es difícil saber cuántos desarrolladores utilizan el buggy ATL, y, por tanto, cuántos vulnerables piezas de código puede estar en circulación.
Microsoft sigue investigando su propio código para los usos del imperfecto de la biblioteca, Reavey añadido -- algunos investigadores, dijo a principios de este mes que tanto en Windows XP y Vista contienen archivos críticos que albergan los errores-y está trabajando con software de terceros fabricantes para ayudarles a descubrir el código de malo.
El ciclo de las actualizaciones pueden ser descargadas e instaladas a través de la Actualización de Microsoft y los servicios de Windows Update, así como a través de Windows Server Update Services.
Fecha de publicación: Las dos actualizaciones, MS09-034 y MS09-035, fija tres "críticas" defectos en IE y tres "moderada" errores en Visual Studio. Pero en una inusual inversión, Microsoft dio a entender que los errores marcados como moderada en realidad puede ser el más grave de los muchos.
Eso es porque el Visual Studio errores, como tres investigadores afirmó a principios de esta semana, en un código de "biblioteca" dobló Active Template Library (ATL). La biblioteca fue utilizado por Microsoft, y un número desconocido de los desarrolladores de terceros para crear controles ActiveX y los componentes de sus aplicaciones.
"Este es un tema complejo, de ofrecer una respuesta integral a una biblioteca de vulnerabilidad," Mike Reavey, director de Microsoft Security Response Center (MSRC), dijo que el día de hoy. "Biblioteca de temas son difíciles de tratar, y tomar un montón de colaboración para resolver...."
Eso es porque, por definición, una biblioteca es utilizada por los desarrolladores para producir su propio código. Por lo que una falla en la biblioteca significa que el resultado de la programación del producto -- un control ActiveX o una .dll necesarios para una aplicación, también contiene el defecto.
Microsoft dejó claro, aunque la redacción era densa. "Microsoft recomienda que los desarrolladores que han creado controles o componentes con ATL tomar medidas de inmediato para evaluar sus controles de la exposición a una situación de vulnerabilidad y seguir la guía que se proporciona para crear controles y componentes que no son vulnerables," dijo la compañía en un inusual que acompaña asesor de seguridad que se detallan los riesgos que supone para los desarrolladores, profesionales de TI y los consumidores.
La compañía también lanzó un sitio Web dedicado a la ATL errores de hoy.
Para proteger a los usuarios de Windows mientras tanto, Microsoft se ha asociado la actualización de Visual Studio con una para IE. "MS09-034 bloquea todos los ataques conocidos, mientras que aquellos [los controles y componentes vulnerables] están siendo actualizados por sus desarrolladores," dijo Reavey.
Las adiciones, es decir, no se bloquear todos los controles ActiveX vulnerables, admitió, pero en lugar de comprobar si los controles de uso de métodos específicos conocidos por desencadenar los errores; a continuación, los bloques de los que lo hacen. En los lugares, Microsoft se describe la protección vagamente, que calificó de una "nueva defensa-en-profundidad de la tecnología".
Tyler Reguly, una con sede en Toronto, investigador de Seguridad de nCircle, dijo que los usuarios tenían entre una roca y un lugar duro día de hoy. "El despliegue de la IE parche tan pronto como sea posible, es el mejor consejo para todos", dijo Reguly. "Pero ahora más detalles sobre las vulnerabilidades, cualquiera puede cavar en los parches para obtener más información. Que me hace la pregunta de si las aplicaciones de terceros que están en un mayor riesgo ahora, y para el próximo par de semanas, de lo que eran antes."
Reavey, reconoció que es difícil saber cuántos desarrolladores utilizan el buggy ATL, y, por tanto, cuántos vulnerables piezas de código puede estar en circulación.
Microsoft sigue investigando su propio código para los usos del imperfecto de la biblioteca, Reavey añadido -- algunos investigadores, dijo a principios de este mes que tanto en Windows XP y Vista contienen archivos críticos que albergan los errores-y está trabajando con software de terceros fabricantes para ayudarles a descubrir el código de malo.
El ciclo de las actualizaciones pueden ser descargadas e instaladas a través de la Actualización de Microsoft y los servicios de Windows Update, así como a través de Windows Server Update Services.
Autor: Keylogger.Org Equipo
