Martedì: sicurezza del focus come bug di patch Microsoft, Oracle

È il madre di tutti i giorni di patch per i negozi IT aziendali, con Microsoft e Oracle che rilasciano aggiornamenti software critici martedì

Microsoft ha dato il via martedì mattina con 11 aggiornamenti di sicurezza, comprese correzioni per i bug di sicurezza critici in Windows Active Directory, Internet Explorer, Excel e il Microsoft Host Integration Server, che integra i computer Windows con i mainframe IBM.

Gli esperti di sicurezza dicono che l'aggiornamento di Internet Explorer, che corregge sei bug nel browser, è quello da guardare. Questo perché è considerato critico per gli utenti di Internet Explorer 6 che eseguono Windows XP - una configurazione molto comune nell'azienda.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Ma i clienti che eseguono Windows Active La directory su macchine Windows 2000 precedenti dovrebbe spostare l'aggiornamento di MS08-060 Active Directory in cima alla coda delle patch, ha affermato Don Leatham, direttore delle soluzioni e della strategia di Lumension Security. Poiché un server Active Directory può essere utilizzato per impostare le autorizzazioni su altre macchine e gestire gli utenti sulla rete, il rilevamento di questa macchina "sarebbe il Santo Graal per qualcuno che cerca di entrare in un'azienda e lo interrompe totalmente", ha affermato. > Normalmente, i server Active Directory sono bloccati sul firewall, il che significa che un utente malintenzionato dovrebbe probabilmente trovarsi su una rete interna per montare un attacco, ha affermato Eric Schultze, chief technology officer di Shavlik Technologies. Ma l'errore "indica che qualsiasi utente interno e insoddisfatto può assumere il controllo completo sui domini di Windows 2000 e sui controller di dominio", ha affermato tramite messaggio immediato.

Attenuare questa preoccupazione, tuttavia, è il fatto che Microsoft non ha segnalato alcun la vulnerabilità è stata sfruttata in un attacco. Mentre è probabile che un utente malintenzionato possa arrestare il sistema Windows 2000 sfruttando questo bug, "la creazione di codice exploit funzionante per sfruttare l'esecuzione di codice remoto è difficile", ha affermato Microsoft in una nota sul suo sito Web.

In totale, 20 bug di sicurezza sono stati corretti negli 11 aggiornamenti di Microsoft. C'erano anche sei aggiornamenti meno critici, giudicati "importanti" da Microsoft, per vari componenti di Windows, e una patch "moderata" che corregge un bug che potrebbe consentire a un utente malintenzionato di snoop informazioni da un utente di Office.

Aggiornamenti di sicurezza di Oracle, previsto alle 13:00 Pacific time, includerà correzioni per 36 bug in una gamma di prodotti Oracle, tra cui il flagship Database dell'azienda, il server delle applicazioni, E-Business Suite e il server WebLogic e gli strumenti di sviluppo. Bug fix sono previsti anche per i prodotti JD Edwards e PeopleSoft dell'azienda.

È insolito che Microsoft e Oracle stiano distribuendo le patch lo stesso giorno. Gli aggiornamenti di sicurezza di Microsoft escono il secondo martedì di ogni mese, noto come Patch Tuesday nel settore. Ma i patch di Oracle sono un affare trimestrale, consegnato il martedì più vicino alla metà del mese. In genere, questo applica le patch Oracle il terzo martedì del mese, ma questo mese, le date di rilascio di Microsoft e Oracle sono risultate convergenti.

Gli aggiornamenti di Microsoft di martedì sono arrivati ​​con un po 'più di informazioni per i clienti dell'azienda. Includevano una nuova sezione chiamata "Exploitability Index", progettata per rendere più facile agli utenti di Windows scoprire quali sono i bug più probabilmente sfruttati dagli hacker.

Microsoft ha valutato tutti i suoi aggiornamenti di sicurezza con le seguenti descrizioni: "Probabile codice di exploit coerente", "codice di exploit incoerente" o "codice di exploit funzionante improbabile."

La società ha affermato che il codice di exploit era probabile per errori critici in Internet Explorer, Microsoft Host Integration Server e aggiornamenti di Excel. Uno dei bug di Internet Explorer, che potrebbe consentire a un utente malintenzionato di ottenere privilegi elevati su una macchina Windows, è già stato divulgato pubblicamente, ma non si ritiene che sia stato utilizzato in attacchi reali, ha detto Microsoft.

Un altro primo: Microsoft ha dato a determinati partner di sicurezza un accesso anticipato agli aggiornamenti questo mese, in modo che potessero implementare il rilevamento degli attacchi nel loro software man mano che le patch venivano rilasciate martedì.