Microsoft исправляет множество ошибок "drive-by attack"
Другие недостатки заключаются в паре форматов файлов проигрывателя Windows Media; в реализации Windows TCP/IP, набора протоколов подключения по умолчанию для интернета; и в службе автоматической настройки беспроводной сети операционной системы.
"Туман прошлой недели рассеялся, но то, что мы видим сегодня, - это множество ошибок, связанных с Internet Explorer, которые раньше были помечены как уязвимости Windows", - сказал Эндрю Штормс, директор по операциям безопасности nCircle Network Security. Шторм имел в виду предварительное уведомление Microsoft в прошлый четверг, когда компания только объявила, что будет выпускать обновления для Windows.
Три обновления, сказал шторм - MS09-045, MS09-046 и MS-09-047-на самом деле лучше классифицировать как проблемы Internet Explorer (IE), потому что хакеры будут использовать четыре ошибки обновлений через IE. "Это большая проблема в этом месяце, - утверждал шторм, - потому что они влияют на IE, когда пользователь делает нормальные вещи на компьютере ... серфинг в Интернете."
MS09-045 обновляет механизм синтаксического анализа JavaScript/JScript Windows, чтобы блокировать атаки "drive-by", которые хакеры могут создать, просто впрыснув вредоносный скрипт на веб-страницу.
"В большинстве случаев злоумышленник может легко злоупотребить этим недостатком, просто вынудив пользователя Windows просмотреть веб-сайт злоумышленника", - сказал Дерек Браун, исследователь безопасности компании 3Com TippingPoint DVLabs. Инициатива нулевого дня TippingPoint - одна из двух существующих программ по вознаграждению за ошибки-была приписана Microsoft с сообщением о дефекте.
Браун сказал, что пользователи должны ожидать эксплойтов уязвимости JavaScript/JScript в ближайшее время. "Из-за широкого распространения механизма синтаксического анализа и относительной простоты создания эксплойта [пользователи должны] немедленно применить патч", - сказал он в электронном письме. Microsoft оценила ошибку как "1 "по сопутствующему индексу эксплуатируемости, что означает, что" согласованный код эксплойта [вероятен]."
Каждая поддерживаемая в настоящее время версия Windows содержит этот недостаток. Только Windows 7 и Windows Server 2008 R2-ни одна из которых официально не была выпущена-являются иммунными, заявила Microsoft.
Но в то время как шторм призывал пользователей уделять приоритетное внимание ошибкам, связанным с IE , он боялся, что совет может затеряться во внимании, уделяемом MS09-048, который обновляет стек TCP/IP Windows. "Я думаю, что многие люди будут сосредоточены на проблеме TCP/IP, потому что прошло уже некоторое время с тех пор, как мы видели проблему со стеком IP", - сказал он.
Это было бы неразумно. "Использовать это будет очень трудно", - предсказал шторм. Microsoft согласилась, заявив, что три отдельные уязвимости MS09-048 будет трудно использовать в ближайшие 30 дней, присвоив им либо "2" (вероятно, несогласованный код эксплойта), либо "3" (маловероятно, что последовательный код эксплойта) в своем индексе.
Более вероятно, что хакеры будут создавать атаки вокруг двух уязвимостей в MS09-047: Microsoft оценила оба как "1" в своем индексе эксплуатируемости. "Любая из этих уязвимостей может позволить удаленное выполнение кода, если пользователь откроет специально созданный медиафайл [Windows]", - говорится в сопроводительной рекомендации Microsoft.
Два дефектных формата файлов-Advanced Systems Format (ASF) и MPEG-1 Audio Layer 3 (MP3).
В MS09-046 Microsoft исправила единственную уязвимость в элементе управления ActiveX компонента редактирования DHTML , используемом IE для поддержки динамического редактирования HTML-контента, которая может быть вызвана вредоносным сайтом при атаке drive-by.
Пятое обновление, MS09-049 исправлена одна критическая уязвимость в службе автоматической настройки беспроводной сети Windows.
- Инструменты автоматической настройки легко поддаются злоумышленникам, - сказал шторм.
Как и ожидалось, Microsoft не исправила недавно обнаруженную уязвимость на своем популярном веб-сервере Internet Information Services (IIS). Штормы и другие эксперты по безопасности заявили на прошлой неделе, что было бы очень маловероятно, что Microsoft сможет разработать и протестировать исправление этого дефекта за доступное время. Microsoft, однако, пообещала в какой-то момент исправить IIS.
Также не было исправления для "синего экрана смерти" уязвимость, которую хакер публично раскрыл только вчера поздно вечером.
Сентябрьские обновления можно загрузить и установить через службы Центра обновления Майкрософт и Центра Обновления Windows, а также через службы обновления Windows Server.
Автор: Keylogger.Org Команда