Microsoft поставляет аварийные исправления в IE, библиотеку кода
Два обновления, MS09-034 и MS09-035, исправили три "критических" недостатка в IE и три "умеренных" ошибки в Visual Studio. Но в необычном развороте Microsoft намекнула, что ошибки, помеченные как умеренные, на самом деле могут быть самыми серьезными из всех.
Это потому, что ошибки Visual Studio были, как утверждали три исследователя ранее на этой неделе, в кодовой "библиотеке", получившей название Active Template Library (ATL). Эта библиотека использовалась корпорацией Майкрософт и неизвестным числом сторонних разработчиков для создания элементов управления ActiveX и компонентов их приложений.
"Это сложная проблема, обеспечивающая всесторонний ответ на уязвимость библиотеки", - сказал Сегодня Майк Риви, директор Центра реагирования на проблемы безопасности Microsoft (MSRC). "Библиотечные проблемы трудно решить, и для их решения требуется много сотрудничества...."
Это потому, что, по определению, библиотека используется разработчиками для разработки собственного кода. Таким образом, недостаток в библиотеке означает, что результирующий программный продукт-элемент управления ActiveX или a .dll, необходимая для приложения - также содержит недостаток.
Microsoft ясно дала это понять, хотя формулировка была плотной. "Microsoft настоятельно рекомендует разработчикам, создавшим элементы управления или компоненты с помощью ATL, немедленно принять меры для оценки своих элементов управления на предмет подверженности уязвимому состоянию и следовать рекомендациям по созданию элементов управления и компонентов, которые не являются уязвимыми", - говорится в необычном сопроводительном рекомендательном документе по безопасности, в котором подробно описываются риски, связанные с разработчиками, ИТ-специалистами и потребителями.
Компания также запустила сегодня веб-сайт, посвященный ошибкам ATL.
Чтобы защитить пользователей Windows в то же время, Microsoft объединила обновление Visual Studio с одним для IE. "MS09-034 блокирует все известные в настоящее время атаки, в то время как эти [уязвимые элементы управления и компоненты] обновляются их разработчиками",-сказал Риви.
Дополнения к IE не блокируют все уязвимые элементы ActiveX, признал он, но вместо этого проверяют, используют ли эти элементы управления определенные методы, известные для запуска ошибок; затем он блокирует те, которые это делают. В некоторых местах Microsoft описывала защиту неопределенно, называя ее "новой технологией глубокой защиты"."
Тайлер регули, исследователь из Торонто в nCircle Security, сказал, что пользователи сегодня находятся между молотом и наковальней. "Выкатывание патча IE как можно скорее-лучший совет для всех", - сказал регули. "Но теперь, когда стали известны подробности об уязвимостях ATL, любой может копаться в патчах для получения дополнительной информации. Это заставляет меня задаться вопросом, подвергаются ли сторонние приложения большему риску сейчас и в течение следующих двух недель, чем раньше."
Риви признал, что трудно сказать, сколько разработчиков использовали глючный ATL и, следовательно, сколько уязвимых фрагментов кода может находиться в обращении.
Microsoft продолжает исследовать свой собственный код для использования дефектной библиотеки, добавил Риви - некоторые исследователи заявили ранее в этом месяце, что и Windows XP, и Vista содержат критические файлы, скрывающие ошибки,-и работает со сторонними производителями программного обеспечения, чтобы помочь им обнаружить плохой код.
Вышедшие из цикла обновления можно загрузить и установить с помощью служб Центра обновления Майкрософт и Центра Обновления Windows, а также с помощью служб обновления Windows Server.
Автор: Keylogger.Org Команда