Microsoft Readies IE-patch voor noodgevallen

Microsoft neemt de ongewone stap van Microsoft twee noodbeveiligingspatches te overkomen voorafgaand aan de regelmatig geplande updates op 11 augustus.

De patches bevatten een kritieke oplossing voor Internet Explorer en een verwante Visual Studio-patch met een "gematigde" urgentie van Microsoft.

" Het bulletin van Internet Explorer biedt grondige wijzigingen in Internet Explorer om extra bescherming te bieden voor de problemen die worden aangepakt door het Visual Studio-bulletin, "zei Microsoft vrijdagavond in een blogbericht.

[Meer informatie: Malware verwijderen vanaf uw Windows-pc]

De patches zijn ingesteld om te worden vrijgegeven op dinsdag om 10 uur 's ochtends aan de westkust.

Microsoft heeft niet precies aangegeven wat het aan het repareren was. Het bedrijf haalt deze "out-of-band" nood-updates meestal niet weg, tenzij de bug wordt misbruikt door cybercriminelen; In dit geval worden de fouten die worden gepatcht volgens Microsoft echter niet gebruikt.

Het probleem lijkt te liggen in een veelgebruikte Windows-component, de Active Template Library (ATL). Volgens beveiligingsonderzoeker Halvar Flake is deze fout ook verantwoordelijk voor een ActiveX-bug die Microsoft eerder deze maand heeft geïdentificeerd. Microsoft heeft op 14 juli een kill-bit patch voor het probleem uitgegeven, maar na onderzoek van de bug, stelde Flake vast dat de patch de onderliggende kwetsbaarheid niet heeft hersteld, dus nieuwe aanvallen zijn mogelijk.

Ongeacht het probleem, de nieuwe patch zou volgende week een topprioriteit moeten zijn voor IT-personeel. "Wanneer Microsoft naar een out-of-band-patch gaat, denk ik dat het voor mensen acceptabel is om het toe te passen," zei Roger Thompson, hoofdonderzoeker bij AVG Technologies. gaf geen reden voor de snelle update maar het kan proberen om alle publieke onthullingen op de Black Hat-beveiligingsconferentie van volgende week in Las Vegas voor te blijven. De noodupdates zullen de dag voor de Black Hat-briefings worden vrijgegeven, waar onderzoekers Mark Dowd, Ryan Smith en David Dewey zullen praten over problemen met browserbeveiliging.

Volgens beveiligingsdeskundigen zijn duizenden websites gebruikt om lancering van online aanvallen die gebruikmaken van de in juli gepatchte ActiveX-kwetsbaarheid. De fout werd voor het eerst gemeld aan Microsoft meer dan een jaar geleden.