Zap zero-day IE aanval voordat het je zapt

Ik voel wat nostalgie terwijl ik deze kolom schrijf omdat ik na het vastleggen van Bugs & Fixes acht en een half jaar - 102 kolommen totaal - het tijd is om te ondertekenen uit. Ik heb enorm veel plezier beleefd aan het schrijven voor je door al die jaren, en ik ben dankbaar dat PC World me de gelegenheid heeft gegeven om dit te doen.

Ik heb altijd twee doelen voor ogen gehad: help je af te weren van actuele dreigingen en nuttige informatie te geven over hoe gaten in de beveiliging en aanvallen daarop werken, zodat u beter voorbereid bent om toekomstige problemen op te lossen. Ik hoop dat ik tenminste de geest van die doelen heb vervuld. Nu, zoals mijn vader in Montana altijd zei: "zei nuff."

De beestjes blijven maar marcheren, en deze maand is geen uitzondering. Laten we beginnen met Microsoft.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Ondanks het feit dat recentelijk meer bugs, waaronder 23 kritieke kwetsbaarheden, zijn gerepareerd dan op enig ander moment in de afgelopen vijf jaar, het bedrijf werd blind gehouden door een tot dusver onbekende bug in alle ondersteunde versies van Internet Explorer (inclusief IE 8 Beta 2). Die bug zorgde snel voor een golf van zero-day aanvallen online, zoals slechteriken via internet voor Microsoft sloegen had hiervoor een patch of oplossing bedacht.

De bug beïnvloedt een sleutelfunctie die bekend staat als "data binding" waar IE op vertrouwt in het omgaan met een webtaal met de naam XML; het gaat erom dat het geheugen niet goed wordt vrijgegeven als het niet langer nodig is.

Een kwaadaardig programma kan de bug misbruiken door zijn eigen code in het overtollige geheugen te laden om uw pc over te nemen. Als je een booby-trapped site hebt bezocht of op een vergiftigde link in een e-mail hebt geklikt, zou het niet hebben gestopt om je IE beveiligingsniveaus in te stellen.

Microsoft-ontwikkelaars haastten zich naar een oplossing om het gat te dichten, maar de inspanning duurde een week; ondertussen verspreidden de aanvallen zich. Begrijp me niet verkeerd: het binnenhalen van een grote correctie in slechts acht dagen is geen sinecure. Microsoft zag in dat de dreiging griezelig genoeg was om de patch "out-of-cycle" vrij te geven, in plaats van te wachten op de volgende "Patch Tuesday". Omdat het nodig was om de patch uit te krijgen, deed Microsoft niet bied de IE-oplossing aan als een "cumulatieve update". Dat is een indicatie van hoe gevaarlijk het beveiligingsteam van Microsoft deze fout heeft overwogen.

Meer Microsoft Bugs

Hoe zit het met de andere 23 cruciale fouten? Ik kan ze hier niet allemaal behandelen, maar dit zijn degenen die het belangrijkst lijken:

Voordat de zero-day-aanvallen toesloegen, publiceerde Microsoft een cumulatieve patch voor IE die vier kritieke gaten in IE-versie 5.01 (op Windows 2000) repareerde SP4) tot en met IE7 (op Vista SP1). Verscheidene van de zwakke punten komen technisch overeen met de zero-day aanvalsopening.

Anders dan Microsoft's out-of-cycle patch, is geen van de 23 kwetsbaarheden aangevallen. Blijf zoals altijd zorgvuldig om uw updates up-to-date te houden. Klik over naar Microsoft-beveiligingsbulletin MS08-073 voor meer informatie en voor een koppeling naar de patches. Microsoft heeft ook twee gaten in de Windows-interface voor grafische apparaten gepatcht, waarmee programma's tekst en afbeeldingen kunnen weergeven in de Windows Metafile-indeling, een bestandsformaat dat meestal wordt gebruikt voor lijntekeningen, illustraties en presentaties. Je zou kunnen denken dat je een afbeelding laadt terwijl je in werkelijkheid al gecompromitteerd bent. Zoals gewoonlijk, om aangevallen te worden, hoef je alleen maar een kwaadwillende website te bezoeken of op een link te klikken in een e -mail.

Zie Microsoft-beveiligingsbulletin MS08-071 voor meer informatie en een link naar de patch als u nog niet automatisch updates ontvangt.

Nog twee gaten - dit keer in Windows Zoeken naar Windows Vista- -kan resulteren in volledig verlies van controle over uw pc. Net als de IE-bug, laat een van de gaten in Search zich open wanneer hij eerder gebruikt geheugen probeert vrij te maken. Vista heeft een functie die Windows Search wordt genoemd en die uw systeem indexeert om snellere zoekresultaten te bieden en om uw zoekopdrachten later opnieuw te kunnen opslaan. De truc die door een van de bugs wordt gebruikt, is om u ertoe te brengen een opgezet zoekbestand te openen en op te slaan door een foutieve link te volgen in een e-mail of op een door booby gevangen website. Alle door-de-modders die nog steeds Windows XP gebruiken, zijn veilig. Alleen Vista-systemen (inclusief SP1 en SP2 Beta) lopen gevaar. Meer informatie vindt u in Microsoft-beveiligingsbulletin MS08-075.

Zoals ze op tv zeggen: maar wacht, er is meer! Microsoft heeft ook een hele reeks bugs in Office gepatcht, waaronder een kritieke bug met betrekking tot Word 2007. Lees meer over al deze bugs en hun patches op de Microsoft Security Bulletin-overzichtspagina voor december 2008.

Firefox om het leven brengen 2

de laatste zero-day-aanvallen hebben sommige experts ertoe gebracht hun aanbeveling te vernieuwen dat IE-gebruikers naar Firefox overschakelen. Hoewel ik het niet oneens ben met dat advies, zullen hackers waarschijnlijk meer aandacht besteden aan Firefox - en dus meer gaten vinden - omdat het marktaandeel wint tegen IE.

Om Firefox te beveiligen, hebben de mensen bij Mozilla heeft een nieuwe update voor de browser samengesteld die een reeks beveiligingslekken patcht, waarvan een aantal van cruciaal belang zijn. Eén fout zit in de sessieherstelfunctie van de browser. Anderen kunnen een aanvaller laten profiteren van gaten in Firefox's JavaScript-engine (een populaire programmeertaal) om een ​​aanvaller je pc te laten overnemen.

Deze versie - Firefox 2.0.0.20 - is de laatste beveiligingsupdate voor de Firefox 2-lijn, Mozilla-officials aangekondigd in een blogpost. Waarom? Het is logisch om een ​​enkele codebasis te ondersteunen, dus Mozilla moedigt gebruikers aan om naar Firefox 3 te gaan (momenteel bij versie 3.0.5). Acht van de nieuwe patches zijn van toepassing op zowel versie 2 als versie 3.

Als de update niet is geïnstalleerd via de automatische updatefunctie van Firefox, kunt u deze downloaden op de Firefox-downloadpagina van Mozilla. Selecteer in de browser

Help, Zoeken naar updates

Dat is het voor mij. Ik hoop je allemaal nog een keer te zien, verder naar beneden op de informatiesnelweg