Videó: Кен Робинсон: Как школы подавляют творчество (November 2024)
A Microsoft frissítést készített az Internet Explorer számára, hogy megszüntesse a nulla napos biztonsági rést, amelyet a közelmúltban már számos célzott támadás során használtak.
A Microsoft sávon kívüli frissítése kiküszöböli az Internet Explorer 6, 7 és 8 verziójának kritikus hibáját - mondta a vállalat ma a biztonsági tanácsadásában. A vállalat korábban kiadott egy Fix-It megoldást, hogy ideiglenesen lezárja a kérdést. A javítóprogramot telepítő felhasználóknak nem kell eltávolítaniuk a javítás telepítése előtt - mondta a Microsoft.
"Az ügyfelek többségének engedélyezve van az automatikus frissítés, és nem kell semmilyen lépést tenniük, mert a védelem automatikusan letöltésre és telepítésre kerül" - mondta a Microsoft a tanácsban. Azon felhasználókat, akik manuálisan frissítik az IE-t, arra ösztönzik, hogy a frissítést a lehető leggyorsabban alkalmazzák.
Fontos megjegyezni, hogy a Microsoft javítást adott ki, nem pedig kumulatív frissítést - mondta Wolfgang Kandek, a Qualys műszaki vezetője. A felhasználóknak először ellenőrizniük kell, hogy az Internet Explorer verziója naprakész (és az MS12-077) telepítve van - e még a javítás (MS13-008) telepítése előtt - mondta Kandek.
Sávos javítás nélkül
Ez a javítás egy héttel jön a Microsoft által a havi Patch kedden kiadott kiadás után. Számos biztonsági szakértő elgondolkozott azon, hogy ez azt jelenti-e, hogy a vállalat februárig várja-e a hiba kijavítását.
"Egyáltalán nem lennék lepve, ha februárban újabb IE-közleményt látna a mai javítás mellett" - mondta Andrew Storms, az nCircle biztonsági műveleteinek igazgatója. A rendszeres böngésző javítások jó dolog, mert a támadók egyre inkább támadnak a böngészőkön - mondta Storms.
A FireEye kutatói decemberben rájöttek, hogy a Külkapcsolatok Tanácsa webhelyet veszélybe sodorták, és a sebezhetőség kihasználásával fertőzték a látogatókat az Internet Explorer régebbi verzióival. Miután azonosították a nulla napos hibát, más kutatók hasonló támadásokat fedeztek fel más helyszíneken is, ideértve a mikroturbin rendszerek gyártóját, a Capstone Turbine-t és két kínai emberi jogi helyet. A Microsoft ideiglenes javítást adott ki, de az Exodus Intelligence kutatói meg tudták kerülni a Fix-It alkalmazást és kiválthatják a biztonsági lyukat.
Miközben a vállalat elég gyorsan dolgozott ki ennek a javításnak a kiadásakor, továbbra is "nagy valószínűséggel" fordul elő, hogy sok felhasználó nem tette meg a szükséges lépéseket, és az IE-felhasználók nagy része védetlen marad, jelentette Mark Elliott, a A Quarri Technologies mondta a SecurityWatch-nek . Ez aláhúzza, hogy a vállalkozások gyakran "mennyire hajlamosak arra, hogy képzett végfelhasználók biztonsági adminisztrátorok legyenek" - mondta Elliott.
A felhasználókat arra is arra ösztönzik, hogy frissítsenek az Internet Explorer 9 vagy 10 verzióra. A probléma elsősorban a Windows XP operációs rendszert futtató felhasználókat érinti, akik nem tudják futtatni az IE újabb verzióit.
"Mivel ezek a javítások a természetben kihasznált sebezhetőségeket érintik, kritikus fontosságú, hogy a javításokat a lehető leghamarabb telepítsék" - mondta Marc Maiffret, a BeyondTrust CTO igazgatója a SecurityWatch-nek .
Ha Fahmidától szeretne többet megtudni, kövesse őt a Twitteren @zdFYRashid.
