Video: Microsoft Edge with Internet Explorer Mode - PRE09 (Marraskuu 2024)
Microsoft julkaisi Internet Explorer -päivityksen sulkeakseen nolla päivän haavoittuvuuden, jota oli jo käytetty viime aikoina useissa kohdennetuissa hyökkäyksissä.
Microsoftin kaistan ulkopuolinen päivitys korjaa Internet Explorerin versioiden 6, 7 ja 8 kriittisen puutteen, sanoi yritys tänään tietoturvaohjeissaan. Yhtiö oli aiemmin julkaissut Fix-It-ratkaisun kiertääkseen ongelman väliaikaisesti. Microsoftin mukaan käyttäjien, jotka ovat asentaneet korjausohjelman, ei tarvitse poistaa sitä ennen korjauksen asentamista.
"Suurimmalla osalla asiakkaista on automaattiset päivitykset käytössä, eikä heidän tarvitse suorittaa mitään toimia, koska suojaukset ladataan ja asennetaan automaattisesti", Microsoft totesi ohjeessa. Käyttäjiä, jotka päivittävät Internet Explorer -sovelluksen manuaalisesti, kehotetaan voimakkaasti asentamaan päivitys mahdollisimman nopeasti.
On tärkeää huomata, että Microsoft julkaisi korjauksen eikä kumulatiivista päivitystä, sanoi Qualysin tekninen johtaja Wolfgang Kandek. Käyttäjien on ensin varmistettava, että heidän Internet Explorerin versio on ajan tasalla (ja siinä on MS12-077) ennen korjauksen asettamista (MS13-008), Kandek sanoi.
Bändin ulkopuolella
Tämä laastari tulee viikon kuluttua Microsoftin ajoitetusta Patch Tiistai -julkaisusta. Monet tietoturva-asiantuntijat olivat miettineet, tarkoittiko tämä yrityksen aikomusta odottaa helmikuuhun korjatakseen virhe.
"En olisi ollenkaan yllättynyt nähdessään helmikuussa uuden IE-tiedotteen tämän päivän korjauksen lisäksi", sanoi Andrew Storms, nCirclen turvallisuusoperaatioiden johtaja. Säännölliset selainkorjaukset ovat hyvä asia, koska hyökkääjät hyökkäävät yhä enemmän web-selaimiin, Storms sanoi.
FireEyen tutkijat havaitsivat joulukuussa, että Ulkosuhteiden neuvoston verkkosivustolle oli tehty vaaraa ja tartuttaen kävijöitä Internet Explorerin vanhemmilla versioilla hyödyntämällä tätä haavoittuvuutta. Kun nollapäivän virhe oli havaittu, muut tutkijat paljastivat samanlaisia hyökkäyksiä muihin sivustoihin, mukaan lukien mikroturbiinijärjestelmien valmistaja Capstone Turbine ja kaksi kiinalaista ihmisoikeuspaikkaa. Microsoft julkaisi väliaikaisen korjauksen, mutta Exodus Intelligengen tutkijat pystyivät ohittamaan Fix-Itin ja laukaisemaan tietoturva-aukon.
Vaikka yritys työskenteli melko nopeasti tämän korjaustiedoston vapauttamisessa, on edelleen "suuri todennäköisyys", että monet käyttäjät eivät ole ryhtyneet tarvittaviin toimiin, ja suuri osa IE-käyttäjistä jää suojaamattomiksi, Mark Elliott, johtaja, tuotteiden johtaja Quarri Technologies, kertoi SecurityWatch . Tämä korostaa sitä, kuinka yritykset ovat usein "arkaluontoisia, kuinka pätevät loppukäyttäjät ovat tietoturvan ylläpitäjinä", Elliott sanoi.
Käyttäjiä kannustetaan myös päivittämään versioon Internet Explorer 9 tai 10. Aihe koskee ensisijaisesti käyttäjiä, jotka käyttävät edelleen Windows XP: tä, joka ei voi käyttää IE: n uudempaa versiota.
"Koska nämä korjaukset korjaavat luonnossa hyödynnettäviä haavoittuvuuksia, on kriittisen tärkeää, että korjaustiedostot otetaan käyttöön mahdollisimman pian", Marc Maiffret, BeyondTrustin tekninen johtaja, kertoi SecurityWatchille .
Seuraa Fahmidasta lisää, seuraa häntä Twitterissä @zdFYRashid.