Видео: Dame Tu cosita ñ (Ноември 2024)
Microsoft въведе актуализация за Internet Explorer, за да затвори уязвимостта за нулев ден, която вече беше използвана в няколко насочени атаки напоследък.
Актуализацията на Microsoft извън лентата адресира критичния недостатък във версии 6, 7 и 8 на Internet Explorer, заяви компанията в своите консултации по сигурността днес. Преди това компанията пусна Fix-It като решение за временно закриване на проблема. Потребителите, които са инсталирали Fix-It, няма нужда да го деинсталират преди прилагането на пластира, заяви Microsoft.
„По-голямата част от клиентите са активирани автоматични актуализации и няма да е необходимо да предприемат никакви действия, тъй като защитите ще бъдат изтеглени и инсталирани автоматично“, заяви Microsoft в консултативния съвет. Потребителите, които актуализират IE ръчно, се насърчават да прилагат актуализацията възможно най-бързо.
Важно е да се отбележи, че Microsoft пусна патч, а не кумулативна актуализация, заяви Волфганг Кандек, CTO на Qualys. Потребителите първо трябва да се уверят, че тяхната версия на Internet Explorer е актуализирана (и има инсталиран MS12-077), преди да прилагат пластира (MS13-008), заяви Kandek.
Извън патч на лентата
Този пластир идва седмица след планираната месечна версия на Patch Tuesday на Microsoft. Много експерти по сигурността се бяха запитали дали това означава, че компанията планира да изчака до февруари, за да отстрани грешката.
"Изобщо не бих се изненадал да видя още един бюлетин на IE през февруари в допълнение към днешния пластир", казва Андрю Стормс, директор на операциите по сигурността в nCircle. Редовните лепенки на браузърите са добро нещо, защото нападателите все повече атакуват уеб браузърите, заяви Storms.
През декември изследователите от FireEye откриха, че уебсайтът на Съвета за външни отношения е бил компрометиран и заразява посетителите, използвайки по-стари версии на Internet Explorer, използвайки тази уязвимост. След като бе установен недостатъкът за нулев ден, други изследователи разкриха подобни атаки на други обекти, включително производителя на микротурбинни системи Capstone Turbine и два китайски сайта за правата на човека. Microsoft пусна временна поправка, но изследователите от Exodus Intelligence успяха да заобиколят Fix-It и да задействат дупката за сигурност.
Въпреки че компанията работи доста бързо за пускането на този пластир, все още има „голяма вероятност“ много потребители да не са предприели необходимите стъпки и голяма част от IE потребителите ще останат незащитени, Марк Елиът, изпълнителен вицепрезидент на продуктите на Quarri Technologies, каза пред SecurityWatch . Това подчертава как предприятията често са „на милостта на това колко квалифицирани крайни потребители са администратор на сигурността“, казва Елиът.
Освен това потребителите се насърчават да надстроят до Internet Explorer 9 или 10. Проблемът засяга предимно потребители, които все още работят под Windows XP, които не могат да стартират по-новите версии на IE.
"Тъй като тези кръпки адресират уязвимостите, които се експлоатират в природата, важно е да бъдат разгърнати възможно най-скоро", каза пред SecurityWatch Марк Майфрет, технически директор на BeyondTrust.
За повече информация от Fahmida, следвайте я в Twitter @zdFYRashid.