Microsoft si affida alla versione di patch di Explorer 8

Appena 11 giorni dopo aver emesso un avviso, Microsoft ha rilasciato una patch per un bug in Internet Explorer 8 che ha infastidito il Dipartimento del Lavoro degli Stati Uniti all'inizio di questo mese.

Microsoft rilascia rapidamente questa patch " è un esempio eccezionale della reattività di Microsoft alla comunità di sicurezza e ai loro utenti ", ha scritto Andrew Storms, direttore della sicurezza delle operazioni per il fornitore di software di sicurezza Tripwire, in una dichiarazione di posta elettronica.

Questo bollettino di sicurezza IE8 (MS13-038) è uno di 10 che Microsoft ha rilasciato martedì come parte del suo rilascio "Patch Tuesday" di correzioni di bug e bollettini sulla sicurezza che la compagnia pubblica regolarmente il secondo martedì di ogni mese.

[Letture: Come rimuovere malwar e dal tuo PC Windows]

Microsoft ha contrassegnato MS13-038 come critico e la società, insieme ad altre società di sicurezza, sta consigliando a coloro che ancora eseguono IE8 di applicare immediatamente la correzione. Usando una pagina Web del Dipartimento del lavoro alterata, gli aggressori hanno utilizzato questa vulnerabilità nel tentativo di installare codice dannoso su qualsiasi computer del visitatore che esegue IE8. Microsoft ha emesso una soluzione temporanea per questa vulnerabilità la scorsa settimana.

L'altro bollettino critico, MS13-037, riguarda anche Internet Explorer. Questo aggiornamento risolve 11 problemi che avrebbero reso facile l'inserimento di codice dannoso nel browser da una pagina Web appositamente predisposta, consentendo all'utente di assumere il controllo di un computer. L'aggiornamento copre la vulnerabilità di PWN2Own, riportata alla luce all'inizio di quest'anno.

Quelli che eseguono Windows Server 2012 dovrebbero dare un'occhiata immediata a MS MS-0-039. Questo aggiornamento corregge una vulnerabilità in Microsoft Web IIS (Internet Information Services) che potrebbe essere utilizzata in un attacco Denial of Service (DoS), tramite l'uso di un pacchetto HTTP. Poiché sarebbe relativamente semplice creare un attacco usando questa vulnerabilità, le organizzazioni dovrebbero applicare questo aggiornamento il prima possibile, perché gli exploit basati su questa vulnerabilità potrebbero iniziare a comparire in poche settimane, secondo Tripwire.

Ross Barrett, senior manager dell'ingegneria della sicurezza presso la società di sicurezza Rapid7, ha scritto in una dichiarazione che "mentre gli attacchi DoS sono generalmente considerati secondo (o terzo) livello per quanto riguarda il rischio, questo potrebbe potenzialmente essere molto dirompente per un'organizzazione, dal momento che molti servizi remoti e Le integrazioni di Active Directory si basano su http.sys, "che è il sottosistema di rete utilizzato da IIS.

Un" exploit di successo di questo bug potrebbe avere gravi implicazioni per i server Web pubblici senza alcun tipo di sistema di prevenzione delle intrusioni in linea di fronte a loro. Essenzialmente, ogni utente potrebbe lanciare un semplice attacco e il server sarà essenzialmente offline ", ha osservato Storms. Ha anche notato che qualsiasi copia di Microsoft Server 2012, e non solo quelli che funzionano come server Web, potrebbe eseguire IIS, come un server per Microsoft Exchange o SharePoint.

I sette bollettini rimanenti: nessuno importante ma tutto considerato importante-indirizzo bug in Microsoft Lync, Publisher, Word, Visio, Windows Essentials,.Net e il kernel di Windows.