Patch Microsoft Martedì: Aggiornamento critico per IE

Oggi è stato l'ultimo Patch di Microsoft martedì del 2009. Microsoft ha rilasciato un totale di sei nuovi bollettini sulla sicurezza, il più urgente che ha un difetto zero-day in Internet Explorer per il quale esiste già un codice exploit.

Salvo eventuali urgenti problemi di sicurezza o exploit che circolano nell'ambiente naturale per forzare un aggiornamento fuori banda, il numero totale di bollettini sulla sicurezza per il 2009 è 74 - un calo del 5% rispetto ai 78 bollettini sulla sicurezza rilasciati nel 2008.

Gestire MS09-072 Prima

[Ulteriori informazioni: I nostri migliori trucchi, suggerimenti e tweaks di Windows 10]

Gli esperti concordano nel dire che il bollettino sulla sicurezza MS09-072, che include l'aggiornamento cumulativo per la protezione di Internet Explorer, è di gran lunga la patch più urgente rilasciata oggi da Microsoft.

Andrew Storms, direttore delle operazioni di sicurezza per nCircle, ha dichiarato in un messaggio di posta elettronica "Topping di Microsoft è la soluzione per un bug critico zero-day in Internet Explorer. La vulnerabilità è diventata un problema di massima sicurezza per gli utenti quando il codice di exploit è diventato pubblicamente disponibile. Riconoscendo la natura critica del problema, Microsoft ha reso la correzione una priorità assoluta e l'ha consegnata in circa due settimane. "

Un altro esperto di sicurezza nCircle, l'ingegnere senior della sicurezza Tyler Reguly, ha accettato" Il numero uno nella lista dei risultati di tutti oggi dovrebbe essere MS09-072, la patch IE, poiché include una patch per la vulnerabilità IE 0-day corrente. Patching IE è sempre cruciale, ma dato l'exploit pubblico, questo dovrebbe essere corretto il più rapidamente possibile.

Ho parlato con Amol Sarwate, manager del Qualys Vulnerabilities Research Lab, che lo ha riassunto "MS09-072 è sicuramente il più urgente. La vulnerabilità è stata resa pubblica tre settimane fa: gli aggressori hanno avuto tre settimane per lavorare con il proof-of-concept e sviluppare un exploit praticabile.Se si può fare solo una patch, fare quella. "

Reguly ha detto che oltre MS09 -072 il resto dei bollettini sulla sicurezza di oggi sono una specie di mash-up casuale di correzioni. Riguardano la maggior parte dell'alfabeto e un certo numero di acronimi, che incidono su LSASS, ADFS e IAS per i principianti.

Nel grande schema delle cose, però, non c'è nulla di molto urgente dopo aver corretto Internet Explorer. Reguly raccomanda alle organizzazioni di prendere il tempo per testare correttamente le patch rimanenti prima della distribuzione.

Errore Internet Explorer

Potresti non averlo notato, ma "Aggiornamento cumulativo per Internet Explorer" è un dispositivo permanente nell'elenco mensile dei bollettini sulla sicurezza da Microsoft, e per quanto posso ricordare è sempre valutato come critico. Poiché più applicazioni e servizi vengono eseguiti direttamente dal cloud, il browser Web diventerà ancora più un tallone d'Achille per la sicurezza.

Ho parlato con Wolfgang Kandek, Chief Technology Officer di Qualys, che ha rilevato che una percentuale significativa di clienti di Qualys fa ancora affidamento su Internet Explorer 6. Ha suggerito che la maggior parte dei punti deboli affrontati potrebbe essere eliminata semplicemente adottando Internet Explorer 8.

nCircle's Storms "sottolinea, tuttavia, che" le pratiche di sviluppo del codice sicuro di Microsoft verranno nuovamente esaminate perché l'IE di oggi aggiornamento include correzioni per due exploit precedentemente non pubblici che riguardano solo IE8, il più recente browser di Microsoft. "

Storms" elaborato "Non c'è modo per Microsoft di evitare la speculazione che questi bug avrebbero dovuto essere trovati durante lo sviluppo del software e ciclo di garanzia della qualità, ma la realtà è che questo era destinato a succedere: ogni prodotto ha bug e più caratteristiche significa maggiori superfici d'attacco. "

Non trascinare il tuo Self Down

Kandek ritiene che Microsoft sia fortemente focalizzata su Windows 7 e vorrebbe tenere gli occhi - e gli sviluppatori - sul futuro, ma che la massiccia base delle installazioni di Windows XP non può essere ignorata. Per quanto a Microsoft piaccia abbandonare il supporto del sistema operativo legacy, Windows XP sarà ancora in circolazione per un po '.

Vale la pena notare che Windows 7 non è stato direttamente interessato da nessuno dei 12 bollettini sulla sicurezza che sono stati rilasciati da quando ha colpito le strade. Windows 7 è influenzato in modo periferico dai problemi di Internet Explorer affrontati nel bollettino MS09-072, e c'è l'esplorazione in corso su ciò che sta causando la misteriosa schermata nera della morte, ma non ci sono ancora confermati difetti di Windows 7.

Nel complesso, tuttavia, Internet Explorer 6 è come il formaggio svizzero rispetto a IE8 dal punto di vista della sicurezza. È anche un incubo per gli amministratori Web e gli utenti che cercano di fare cose come visualizzare pagine Web. Il recente report Microsoft Security Intelligence ha mostrato che Windows XP ha il 75% in più di probabilità di essere compromesso rispetto a Windows 7.

Per quanto deboli siano i due prodotti confrontati con i loro equivalenti più moderni, molte organizzazioni fanno ancora affidamento su di essi. Queste organizzazioni devono dare un'occhiata a Windows 7 e Internet Explorer 8 e ai potenziali risparmi in termini di supporto.

Usare Windows XP e Internet Explorer 6 e poi lamentarsi della sicurezza dei prodotti Microsoft è come guidare la macchina trascinando un ancoraggio in barca e poi lamentarsi del fatto che stai ottenendo una scarsa percorrenza del gas.

I tweet di Tony Bradley come @PCSecurityNews, e possono essere contattati alla sua pagina Facebook.