Microsoft-patch dinsdag: kritieke update voor IE

Vandaag was Microsoft de laatste patch dinsdag van 2009. Microsoft heeft in totaal zes nieuwe beveiligingsbulletins uitgebracht, waarvan de meest urgente een invloed heeft op een zero-day fout in Internet Explorer waarvoor exploitcode al bestaat.

Behoudens dringende beveiligingsproblemen of exploits die in het wild circuleren om een ​​out-of-band update te forceren, is het totale aantal beveiligingsbulletins voor 2009 74 - een daling van 5 procent ten opzichte van de 78 beveiligingsbulletins die in 2008 zijn uitgegeven.

Deal met MS09-072 First

[Meer lezen: onze beste Windows 10-tricks, tips en tweaks]

Deskundigen zijn het erover eens dat het beveiligingsbulletin MS09-072, dat de cumulatieve beveiligingsupdate voor Internet Explorer bevat, verreweg is de meest urgente patch die Microsoft vandaag heeft uitgegeven.

Andrew Storms, directeur van beveiligingsoperaties voor nCircle, zei in een e-mail "Topping nieuws van vandaag van Microsoft is de oplossing voor een kritieke zero-day bug in Internet Explorer. Het beveiligingslek werd een belangrijk beveiligingsprobleem voor gebruikers toen exploitcode openbaar beschikbaar werd. Als erkenning voor de kritieke aard van het probleem, heeft Microsoft de oplossing een topprioriteit gemaakt en binnen ongeveer twee weken opgeleverd. "

Een andere nCircle beveiligingsdeskundige, senior beveiligingsingenieur Tyler Reguly, was het ermee eens" Nummer één op de hitlijst van vandaag zou moeten MS09-072, de IE-patch, omdat deze een patch bevat voor de huidige kwetsbaarheid voor IE 0-day. Patchen van IE is altijd cruciaal, maar gezien de publieke exploitatie, moet dit zo snel mogelijk worden gepatcht.

Ik sprak met Amol Sarwate, manager van Qualys Vulnerabilities Research Lab, die het samenvatte: "MS09-072 is absoluut de meest urgente. De kwetsbaarheid is drie weken geleden bekendgemaakt, aanvallers hebben drie weken de tijd gehad om met de proof-of-concept te werken en een bruikbare exploit te ontwikkelen. "Als je maar één patch kunt doen, doe dat dan." Reguly zei dat verder dan MS09 -072 de rest van de beveiligingsbulletins van tegenwoordig zijn een soort van willekeurige mash-up van oplossingen. Ze omvatten een groot deel van het alfabet en een aantal afkortingen, die van invloed zijn op LSASS, ADFS en IAS voor starters.

In het grote schema van dingen is er echter niets erg urgent zodra u Internet Explorer hebt gepatcht. Reguly raadt organisaties aan de nodige tijd te nemen om de resterende patches goed te testen voordat ze worden geïmplementeerd.

Internet Explorer mislukt

Het is u misschien niet opgevallen, maar "Cumulatieve update voor Internet Explorer" is een vaste waarde in de maandelijkse lijst met beveiligingsbulletins van Microsoft, en voor zover ik me kan herinneren, wordt dit altijd als kritisch beoordeeld. Naarmate meer toepassingen en services rechtstreeks vanuit de cloud worden uitgevoerd, wordt de webbrowser nog meer een achillespees voor beveiliging.

Ik sprak met Qualys-chef-technologiefunctionaris Wolfgang Kandek die opmerkte dat een aanzienlijk percentage van Qualys-klanten nog steeds afhankelijk is van internet Explorer 6. Hij suggereerde dat de meeste zwakheden waarmee geconfronteerd werd, konden worden geëlimineerd door simpelweg Internet Explorer 8 aan te nemen.

nCircle's Storms 'wijst er echter op dat "Microsoft's veilige code-ontwikkelingspraktijken opnieuw onder de loep zullen worden genomen omdat het IE van vandaag update bevat fixes voor twee eerder niet-openbare exploits die alleen van invloed zijn op IE8, de nieuwste browser van Microsoft. "

Storms 'werkte verder uit" Er is geen mogelijkheid voor Microsoft om de speculatie te vermijden dat deze bugs tijdens de ontwikkeling van de software gevonden hadden moeten zijn en cyclus voor kwaliteitsborging, maar de realiteit is dat dit onvermijdelijk zou gebeuren. Elk product heeft bugs en meer functies betekent meer aanvalsoppervlakken. "

Sleep niet self Down

Kandek is van mening dat Microsoft sterk gefocust is op Windows 7 en graag zijn ogen - en ontwikkelaars - wil houden over de toekomst, maar dat de massieve basis van Windows XP-installaties niet kan worden genegeerd. Hoe graag Microsoft ook wegloopt van de ondersteuning van het verouderde besturingssysteem, Windows XP zal er nog wel een tijdje zijn.

Het is vermeldenswaard dat Windows 7 niet rechtstreeks is beïnvloed door een van de 12 beveiligingsbulletins die zijn vrijgegeven sinds het op straat is gegaan. Windows 7 wordt perifeer getroffen door de problemen met Internet Explorer die worden behandeld in MS09-072, en er is de voortdurende verkenning van wat het mysterieuze zwarte scherm van de dood veroorzaakt, maar tot nu toe geen bevestigde Windows 7-fouten.

Internet Explorer 6 lijkt op Zwitserse kaas in vergelijking met IE8 vanuit een beveiligingsperspectief. Het is ook een nachtmerrie voor webbeheerders en gebruikers die dingen proberen te doen, zoals webpagina's bekijken. Het recente Microsoft Security Intelligence Report toonde aan dat 75% meer kans loopt op Windows XP dan Windows 7.

Net zo zwak als deze twee producten worden vergeleken met hun modernere equivalenten, vertrouwen veel organisaties er nog steeds op. Die organisaties moeten nog een keer kijken naar Windows 7 en Internet Explorer 8 en naar de potentiële besparingen op het gebied van ondersteuning.

Windows XP en Internet Explorer 6 gebruiken en vervolgens klagen over de beveiliging van Microsoft-producten, is alsof u uw auto rondsleept boot anker en dan klagen dat je slechte gas kilometers krijgt.

Tony Bradley tweets als

@PCSecurityNews, en kan gecontacteerd worden op zijn Facebook-pagina.