Internet Explorer Zero-Day Vulnerability Under Active Attack
Difetti zero-day che hanno consentito attacchi contro Internet Explorer 6 e 7, resi noti a fine novembre, raccolgono patch critiche nella Patch Tuesday di oggi, così come Microsoft Office Project e Server 2008.
L'aggiornamento cumulativo di IE, MS09-072, ripristina cinque diversi bug di sicurezza che interessano IE 6, 7 e 8. Mentre il codice exploit pubblicamente disponibile per lo zero-day IE 6 e 7 non ha sempre attivato un attacco di successo nei test di laboratorio, Microsoft assegna questa patch a 1 rating sul suo indice di exploitability, il che significa che la compagnia crede che siano probabili attacchi coerenti. Almeno uno dei difetti potrebbe essere attaccato semplicemente visualizzando una pagina Web avvelenata.
L'aggiornamento è considerato critico per IE 5 su Windows 2000, IE 6 su Windows XP o Server 2003 e IE 7 su XP e Vista. È altrettanto essenziale per IE 8 su XP, Vista e Windows 7, ma è più moderato che critico per IE 7 su Server 2003 e Server 2008, così come IE 8 su Server 2003 e Server 2008. Per maggiori dettagli vedi MS09- 072 bollettino.
[Ulteriori letture: come rimuovere malware dal PC Windows]Un secondo bollettino risolve i problemi di Microsoft Office Project che potrebbero essere attivati aprendo un file di progetto dannoso. MS09-074 è considerato critico solo per Microsoft Project 2000 Service Release 1 e importante per Project 2002 SP 1 e 2003 SP 3. Project 2007 non è interessato.
Windows Server 2008 è a rischio critico dal terzo errore fisso nel Servizio di autenticazione Internet. Solo i server che utilizzano l'autenticazione PEAP con MS-CHAP v2 sono a rischio, secondo il bollettino MS09-071, che è ritenuto importante o moderato per Windows 2000, XP, Server 2003, Vista e Server 2008.
Altri aggiornamenti importanti correggere una vulnerabilità di negazione del servizio in Windows 2000, XP e Server 2003 (MS09-069), insieme a un difetto che coinvolge richieste HTTP inviate a un server Web Server 2003 o Server 2008 (MS09-070). Una patch finale, MS09-073 si prende cura di un bug in WordPad e Office Text Converters che potrebbero essere attivati aprendo un documento dannoso.
Avvia Microsoft Update per raccogliere tutte queste patch, e per maggiori informazioni consultare il Bollettino Microsoft sulla sicurezza Riepilogo per dicembre 2009 e anche il post MSRC
Flaw di Microsoft senza patch Lascia IE6 a rischio
Fornitore di sicurezza Symantec afferma che una vulnerabilità Microsoft priva di patch presenta un rischio maggiore per IE6 rispetto alla versione successiva del browser.
Microsoft Fixes Critical Image Flaw di Windows
La patch più importante nel batch mensile di oggi da Microsoft corregge un serio rischio nella gestione delle immagini di metafile.
April Shower of Critical Microsoft Fixes
Redmond ha rilasciato oggi un importante batch di patch di aprile per correggere una serie di buchi di sicurezza gravi.