This is a machine translation. The original page (in English) is available here.

Dernières nouvelles du monde: - Pourquoi les états-UNIS envisage de TikTok Ban Flux RSS

La maison>Des nouvelles du monde>Microsoft fournit des correctifs d'urgence-à-dire, le code de la bibliothèque
Haut les enregistreurs de frappe
Afficher plus...

Microsoft fournit des correctifs d'urgence-à-dire, le code de la bibliothèque

  •  
Note des utilisateurs: aucun commentaire. Soyez le premier à revoir! 0 - 1 votes
Comme promis, aujourd'hui, Microsoft patché six vulnérabilités dans Internet Explorer (IE) et Visual Studio avec le premier "hors cycle" mise à jour depuis branché un trou en octobre dernier que le ver Conficker utilisés plus tard pour sévir.

Les deux mises à jour, MS09-034 et MS09-035, fixe trois "critiques" des failles dans IE et trois "modéré" bugs " dans Visual Studio. Mais d'un singulier renversement, Microsoft a laissé entendre que les bugs tagged as modérée est peut être le plus grave de la parcelle.

C'est parce que le Visual Studio bugs ont été, comme les trois chercheurs ont affirmé plus tôt cette semaine, dans un code "bibliothèque" baptisé ATL (Active Template Library). Cette bibliothèque a été utilisé par Microsoft et un nombre inconnu de développeurs tiers de créer des contrôles ActiveX et des composants, de leurs applications.

"C'est une question complexe, d'apporter une réponse globale à une bibliothèque de vulnérabilité," Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a déclaré aujourd'hui. "Bibliothèque de questions sont difficiles à traiter, et de prendre beaucoup de collaboration à résoudre...."

C'est parce que, par définition, une bibliothèque est utilisée par les développeurs pour produire leur propre code. Donc une faille dans la bibliothèque signifie que le produit de programmation -- un contrôle ActiveX ou un .dll nécessaires pour une application -- contient également de la faille.

Microsoft a fait en sorte que ce soit clair, bien que le libellé était dense. "Microsoft recommande vivement que les développeurs qui ont créé des contrôles ou des composants avec ATL de prendre immédiatement des mesures pour évaluer leurs contrôles de l'exposition à une situation de vulnérabilité et de suivre les instructions fournies pour créer des commandes et des composants qui ne sont pas vulnérables," a indiqué la compagnie dans un peu d'accompagnement des avis de sécurité décrit les risques pour les développeurs, les professionnels et les consommateurs.

La société a également lancé un site Web dédié à l'ATL bugs aujourd'hui.

Pour protéger les utilisateurs de Windows en attendant, Microsoft associé à la mise à jour Visual Studio avec une pour IE. "MS09-034 bloque toutes les attaques connues, tandis que ceux [vulnérables des contrôles et des composants] sont mis à jour par leurs développeurs," dit Reavey.

Les ajouts c'est à dire ne pas bloquer tous les contrôles ActiveX vulnérables, il a admis, mais au lieu de vérifier pour voir si ces contrôles, l'utilisation de méthodes spécifiques connus pour déclencher les bugs; puis, il bloque ceux qui ne. Dans les lieux, Microsoft décrit la protection vaguement, il appelle un "nouveau" défense en profondeur " de la technologie."

Tyler Reguly, de Toronto, chercheur à nCircle de Sécurité, a déclaré que les utilisateurs ont entre une roche et un endroit dur aujourd'hui. "Le déploiement de l'IE patch dès que possible est la meilleure des conseils pour tout le monde", a déclaré Reguly. "Mais maintenant que les détails sont sur les vulnérabilités ATL, n'importe qui peut creuser dans les patchs pour plus d'informations. Que me fait la question de savoir si les applications tierces sont à un risque plus grand, maintenant et pour les prochaines semaines, qu'ils ne l'étaient avant."

Reavey reconnu qu'il est difficile de dire combien de développeurs ont utilisé le boghei ATL, et donc combien de pièces vulnérables de code peut être en circulation.

Microsoft continue d'enquêter sur sa propre code pour l'utilisation de l'imparfait de la bibliothèque, Reavey ajoutés par la suite, certains chercheurs ont déclaré plus tôt ce mois-ci que les deux Windows XP et Vista contiennent des fichiers critiques de l'hébergeant les bugs -- et travaille avec un logiciel tiers des décideurs pour les aider à découvrir de mauvais code.

Le cycle de mises à jour peut être téléchargé et installé via Microsoft Update et Windows Update services, ainsi que par le biais de Windows Server Update Services.
Date de publication:
Auteur:
La maison>Des nouvelles du monde>Microsoft fournit des correctifs d'urgence-à-dire, le code de la bibliothèque
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.