Ethical Hacking: IE Zero Day Exploit
Zero-day fouten die toelieten op aanvallen tegen Internet Explorer 6 en 7, onthuld eind november, pak kritieke patches op in de Patch Tuesday van vandaag, net als Microsoft Office Project en Server 2008.
De cumulatieve IE-update, MS09-072, verscherpt vijf verschillende beveiligingsbugs die betrekking hebben op IE 6, 7 en 8. Hoewel de openbare exploitcode voor de zero-day IE 6 en 7 niet altijd tot een succesvolle aanval in laboratoriumtests leidde, kent Microsoft deze patch een 1 rating op zijn Exploitability Index, wat betekent dat het bedrijf gelooft dat consistente aanvallen waarschijnlijk zijn. Ten minste een van de fouten kan worden aangetast door eenvoudigweg een vergiftigde webpagina te bekijken.
De update wordt kritisch beoordeeld voor IE 5 op Windows 2000, IE 6 op Windows XP of Server 2003 en IE 7 op XP en Vista. Het is ook essentieel voor IE 8 op XP, Vista en Windows 7, maar scoort eerder gematigd dan kritisch voor IE 7 op Server 2003 en Server 2008, evenals IE 8 op Server 2003 en Server 2008. Zie voor meer informatie de MS09- 072 bulletin.
[Meer informatie: hoe u malware van uw Windows-pc verwijdert]Een tweede bulletin behandelt fouten in Microsoft Office Project die kunnen worden veroorzaakt door het openen van een kwaadaardig projectbestand. MS09-074 wordt alleen kritisch beoordeeld voor Microsoft Project 2000 Service Release 1 en is belangrijk voor Project 2002 SP 1 en 2003 SP 3. Project 2007 wordt niet beïnvloed.
Windows Server 2008 loopt een kritiek risico van de derde opgeloste fout in de Internet Authentication Service. Alleen servers die PEAP met MS-CHAP v2-verificatie gebruiken, lopen het risico, volgens het bulletin MS09-071, dat belangrijk of matig wordt beoordeeld voor Windows 2000, XP, Server 2003, Vista en Server 2008.
Aanvullende updates met belangrijke beoordelingen een beveiligingslek met betrekking tot denial-of-service oplossen in Windows 2000, XP en Server 2003 (MS09-069), samen met een fout met betrekking tot HTTP-aanvragen die naar een Server 2003- of Server 2008-webserver (MS09-070) zijn verzonden. Een laatste patch, MS09-073, zorgt voor een fout in WordPad en Office Text Converters die kunnen worden getriggerd door het openen van een kwaadaardig document.
Start Microsoft Update op om al deze patches op te halen en voor meer informatie, zie Microsoft's beveiligingsbulletin Samenvatting voor december 2009, en ook de MSRC-post.
Microsoft lost IE, Office in grote maand beveiligingsupdates
Heeft Microsoft patches vrijgegeven om 19 kritieke gaten in de software dinsdag op te lossen, waaronder vijf fouten in IE die zouden moeten zijn ...
Microsoft-beveiliging lost focus op Windows Desktop op
Microsoft heeft beveiligingspatches voor september uitgebracht, waarmee kritieke fouten in de door Windows gebruikte GDI + -software worden verholpen.
Windows Mobile 6.5 lost de mobiele problemen van Microsoft niet
Op Microsoft zou graag zien dat het een groot succes wordt en een deel van de verloren slimme telefoon terugvorderen marktaandeel, maar de echte prijs ligt in Microsoft die andere mobiele besturingssysteemplatformen omarmt.