Microsoft affirme que les programmes de sécurité sont payants
Un an après le lancement de trois programmes de sécurité conçu pour améliorer la sécurité à l'échelle de l'industrie, Microsoft est de trouver le plus de correctifs de sécurité sont en battant des exploits hors de la porte.
Pendant ce temps, le Microsoft Security Response Center, a déclaré que les 50 bulletins de sécurité, elle a publié, à partir d'octobre 2008 à juin 2009, des correctifs ont été publiés en réponse à 138 vulnérabilités. De ceux-ci, 17 ans, a public un code d'exploitation est disponible au moment de la libération, et 67, conformément possibilité de code d'exploitation a été probablement écrite, selon le géant du logiciel.
Les nouvelles viennent après que Microsoft a annoncé la semaine dernière qu'il serait libérant des mises à jour de sécurité sur le mardi--en dehors de son rapport mensuel sur le patch cycle--pour une vulnérabilité critique dans Internet Explorer et une vulnérabilité moyenne dans Visual Studio.
Pendant ce temps, Microsoft n'a pas encore de brancher une critique ActiveX trou dans le Bureau qu'il a prévenu il y a deux semaines attaquants étaient exploiter pour prendre le contrôle du Pc par le leurre d'Internet Explorer les utilisateurs vers des sites Web malveillants. C'était le troisième jour zéro trou annoncé par Microsoft dans moins de deux mois.
En août 2008, le Microsoft Security Response Center a annoncé trois programmes de sécurité pour améliorer la sécurité pour les clients, les partenaires et les autres. La société a émis un rapport d'avancement sur le lundi à l'avance de la Black Hat conférences sur la sécurité qui débutera le mardi à Las Vegas.
Le biais de Microsoft Active Protections Program (MAPP), Microsoft fournit des informations sur la vulnérabilité de 45 partenaires avant le mensuel de Microsoft Patch Tuesday mises à jour de sécurité. MAPP partenaire et fournisseur de sécurité du réseau de Sourcefire questions des protections basées sur les informations pour environ 95% de la mensualité de bulletins de sécurité Microsoft.
Avant de MAPP, il a fallu environ huit heures à la rétro-ingénierie, de développer une preuve de concept de code, et construire l'exploit de détection pour une vulnérabilité, qui est environ le temps qu'il prend pour un savant attaquant de générer un code d'exploitation après une vulnérabilité a été divulguée, Microsoft a déclaré.
Maintenant, il ne prend environ deux heures, en fonction de Sourcefire. Sourcefire développeurs n'ont qu'à écrire le code de détection parce que Microsoft fournit le reste, ce qui signifie que les patchs sont généralement libérés heures à l'avance de tous les exploits, Microsoft a déclaré.
En estimant combien de vulnérabilités exploitables sont, Microsoft a déclaré qu'il a eu un taux de fiabilité de 99%. De 140 cotes de l'Indice d'Exploitabilité Microsoft, a également publié l'année dernière, il n'y a eu qu'une révision qui a largué la gravité de la vulnérabilité, a indiqué la compagnie.
Pour le troisième programme, Microsoft Vulnérabilité de la Recherche (MSVR), Microsoft chercheurs travaillent à trouver des trous dans un logiciel tiers. De juin 2008 à juin 2009, le MSVR équipe a identifié les vulnérabilités des logiciels affectant 32 vendeurs, Microsoft a déclaré.
Des trous se trouve à l'extérieur de logiciels, 86 pour cent étaient des critiques ou importantes et 13 pour cent ont été résolus, tandis que 5% sont en cours de résolution, selon Microsoft. Le MSVR de l'équipe et de sécurité de Microsoft chercheur Billy Rios ont été crédités à trouver des trous récemment fixé dans le navigateur Safari d'Apple.
"Nous constatons que les attaques deviennent plus complexes," a déclaré Mike Reavey, directeur du Microsoft Security Response Center. "Il y a une course entre les attaquants et les défenseurs, et la collaboration est nécessaire dans l'industrie."
Microsoft dévoile cette semaine, Microsoft Office, outils de Visualisation, qui offre une vue graphique de Bureau les formats de fichiers binaires, les programmeurs peuvent mieux voir où les vulnérabilités et les programmes malveillants pourraient être intégrées dans un document Office.
En outre, Microsoft annonce du Projet Quant, un tableur en ligne en outil conçu pour aider les administrateurs informatiques à estimer les coûts associés à la mise à jour du logiciel de gestion.
Date de publication: Pendant ce temps, le Microsoft Security Response Center, a déclaré que les 50 bulletins de sécurité, elle a publié, à partir d'octobre 2008 à juin 2009, des correctifs ont été publiés en réponse à 138 vulnérabilités. De ceux-ci, 17 ans, a public un code d'exploitation est disponible au moment de la libération, et 67, conformément possibilité de code d'exploitation a été probablement écrite, selon le géant du logiciel.
Les nouvelles viennent après que Microsoft a annoncé la semaine dernière qu'il serait libérant des mises à jour de sécurité sur le mardi--en dehors de son rapport mensuel sur le patch cycle--pour une vulnérabilité critique dans Internet Explorer et une vulnérabilité moyenne dans Visual Studio.
Pendant ce temps, Microsoft n'a pas encore de brancher une critique ActiveX trou dans le Bureau qu'il a prévenu il y a deux semaines attaquants étaient exploiter pour prendre le contrôle du Pc par le leurre d'Internet Explorer les utilisateurs vers des sites Web malveillants. C'était le troisième jour zéro trou annoncé par Microsoft dans moins de deux mois.
En août 2008, le Microsoft Security Response Center a annoncé trois programmes de sécurité pour améliorer la sécurité pour les clients, les partenaires et les autres. La société a émis un rapport d'avancement sur le lundi à l'avance de la Black Hat conférences sur la sécurité qui débutera le mardi à Las Vegas.
Le biais de Microsoft Active Protections Program (MAPP), Microsoft fournit des informations sur la vulnérabilité de 45 partenaires avant le mensuel de Microsoft Patch Tuesday mises à jour de sécurité. MAPP partenaire et fournisseur de sécurité du réseau de Sourcefire questions des protections basées sur les informations pour environ 95% de la mensualité de bulletins de sécurité Microsoft.
Avant de MAPP, il a fallu environ huit heures à la rétro-ingénierie, de développer une preuve de concept de code, et construire l'exploit de détection pour une vulnérabilité, qui est environ le temps qu'il prend pour un savant attaquant de générer un code d'exploitation après une vulnérabilité a été divulguée, Microsoft a déclaré.
Maintenant, il ne prend environ deux heures, en fonction de Sourcefire. Sourcefire développeurs n'ont qu'à écrire le code de détection parce que Microsoft fournit le reste, ce qui signifie que les patchs sont généralement libérés heures à l'avance de tous les exploits, Microsoft a déclaré.
En estimant combien de vulnérabilités exploitables sont, Microsoft a déclaré qu'il a eu un taux de fiabilité de 99%. De 140 cotes de l'Indice d'Exploitabilité Microsoft, a également publié l'année dernière, il n'y a eu qu'une révision qui a largué la gravité de la vulnérabilité, a indiqué la compagnie.
Pour le troisième programme, Microsoft Vulnérabilité de la Recherche (MSVR), Microsoft chercheurs travaillent à trouver des trous dans un logiciel tiers. De juin 2008 à juin 2009, le MSVR équipe a identifié les vulnérabilités des logiciels affectant 32 vendeurs, Microsoft a déclaré.
Des trous se trouve à l'extérieur de logiciels, 86 pour cent étaient des critiques ou importantes et 13 pour cent ont été résolus, tandis que 5% sont en cours de résolution, selon Microsoft. Le MSVR de l'équipe et de sécurité de Microsoft chercheur Billy Rios ont été crédités à trouver des trous récemment fixé dans le navigateur Safari d'Apple.
"Nous constatons que les attaques deviennent plus complexes," a déclaré Mike Reavey, directeur du Microsoft Security Response Center. "Il y a une course entre les attaquants et les défenseurs, et la collaboration est nécessaire dans l'industrie."
Microsoft dévoile cette semaine, Microsoft Office, outils de Visualisation, qui offre une vue graphique de Bureau les formats de fichiers binaires, les programmeurs peuvent mieux voir où les vulnérabilités et les programmes malveillants pourraient être intégrées dans un document Office.
En outre, Microsoft annonce du Projet Quant, un tableur en ligne en outil conçu pour aider les administrateurs informatiques à estimer les coûts associés à la mise à jour du logiciel de gestion.
Auteur: Keylogger.Org L'Équipe
