Zap Zero-Day IE Attack Before It Zaps You

Sento un po 'di nostalgia mentre scrivo questa colonna perché, dopo aver scritto Bugs & Fixes per otto anni e mezzo - 102 colonne in totale - è tempo che io firmi off. Mi è piaciuto immensamente scrivere per te in tutti questi anni e sono grato che PC World mi ha dato l'opportunità di farlo.

Ho sempre avuto due obiettivi in ​​testa: aiutarti evita le minacce attuali e fornisci informazioni utili su come funzionano le falle di sicurezza e gli attacchi su di esse, così sarai più preparato a gestire i problemi futuri. Spero di aver soddisfatto almeno lo spirito di questi obiettivi. Ora, come diceva mio padre in Montana, "ho detto".

Gli insetti continuano a marciare, e questo mese non fa eccezione. Iniziamo con Microsoft.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Nonostante abbia recentemente sistemato più bug, incluse 23 vulnerabilità critiche, rispetto a qualsiasi altra singola volta negli ultimi cinque anni, la società è stata colta di sorpresa da un bug precedentemente sconosciuto in tutte le versioni supportate di Internet Explorer (incluso IE 8 Beta 2).

Questo bug ha generato rapidamente un'ondata di attacchi zero-day online, mentre i cattivi hanno colpito via Web prima di Microsoft

L'errore riguarda una funzione chiave nota come "associazione dati" di cui IE fa affidamento nel trattare un linguaggio Web chiamato XML; il buco comporta un errore nel liberare la memoria correttamente quando non è più necessario.

Un programma dannoso potrebbe sfruttare il bug caricando il proprio codice nella memoria in eccesso per prendere il controllo del PC. Se visitassi un sito traumatizzato o avessi fatto clic su un link avvelenato in un'e-mail, nemmeno l'impostazione dei livelli di sicurezza IE al massimo lo avrebbe fermato.

Gli sviluppatori di Microsoft si affrettarono a risolvere il problema, ma il lo sforzo ha richiesto una settimana; nel frattempo gli attacchi si sono diffusi. Non fraintendetemi: non è un compito da poco risolvere una correzione importante in soli otto giorni. E Microsoft ha riconosciuto che la minaccia era abbastanza spaventosa da giustificare il rilascio della patch "fuori ciclo", piuttosto che attendere il prossimo "Patch Tuesday".

Poiché era necessario rimuovere la patch immediatamente, Microsoft non offrire la correzione IE come "aggiornamento cumulativo". Questa è un'indicazione di quanto sia pericoloso il team di sicurezza di Microsoft ha preso in considerazione questo bug.

Poiché si sono verificati attacchi "in the wild", Microsoft ti sollecita a ottenere la patch APPENA POSSIBILE (se non hai aggiornamenti automatici abilitati) dal relativo Bollettino Microsoft sulla sicurezza Pagina MS08-078.

Altri bug Microsoft

E gli altri 23 bug critici? Non posso coprirli tutti qui, ma questi sono quelli che sembrano più importanti:

Prima che arrivino gli attacchi zero-day, Microsoft ha rilasciato una patch cumulativa per IE che corregge quattro buchi critici in IE versioni 5.01 (su Windows 2000 SP4) tramite IE7 (su Vista SP1). Molti dei punti deboli sono tecnicamente simili al buco di attacco zero-day.

A differenza della patch fuori ciclo di Microsoft, nessuna delle 23 vulnerabilità è stata ancora attaccata. Come al solito, sii diligente nel tenere aggiornati i tuoi aggiornamenti. Fare clic sul Bollettino Microsoft sulla sicurezza MS08-073 per maggiori informazioni e per un collegamento alle patch. Microsoft ha inoltre applicato due fori all'interfaccia di dispositivo grafico di Windows, che consente ai programmi di mostrare testo e grafica nel formato Metafile di Windows, un formato di file generalmente utilizzato per disegni al tratto, illustrazioni e presentazioni. Potresti pensare di caricare un'immagine quando, in realtà, sei già stato compromesso Come al solito, per essere attaccato, tutto ciò che devi fare è visitare un sito Web dannoso o fare clic su un collegamento ad esso in una e -mail.

Se non ricevi ancora automaticamente gli aggiornamenti, consulta il Bollettino Microsoft sulla sicurezza MS08-071 per maggiori informazioni e un link alla patch.

Altri due buchi - questa volta nella ricerca di Windows per Windows Vista- -potrebbe comportare la completa perdita di controllo sul tuo PC. Come il bug di IE, uno dei buchi di Search si lascia aperto quando tenta di liberare memoria precedentemente utilizzata. Vista ha una funzionalità chiamata Ricerca di Windows che indicizza il sistema per fornire risultati di ricerca più rapidi e per consentire di archiviare le ricerche per il riutilizzo in un secondo momento. Lo stratagemma utilizzato da uno dei bug è quello di indurti ad aprire e salvare un file di ricerca truccato seguendo un link errante in una e-mail o su un sito trappolato. Tutti i stick-in-the-muds che usano ancora Windows XP sono al sicuro. Solo i sistemi Vista (inclusi SP1 e SP2 Beta) sono a rischio. Ottieni ulteriori informazioni dal Bollettino Microsoft sulla sicurezza MS08-075.

Come si dice in TV: Ma aspetta, c'è di più! Microsoft ha anche corretto una serie di bug in Office, incluso un bug critico su Word 2007. Ulteriori informazioni su tutti questi bug e le relative patch nella pagina di riepilogo del Bollettino Microsoft sulla sicurezza di dicembre 2008.

Eliminazione di Firefox 2

The gli ultimi attacchi zero-day hanno spinto alcuni esperti a rinnovare la loro raccomandazione che gli utenti di IE passino a Firefox. Anche se non sono d'accordo con questo suggerimento, gli hacker probabilmente presteranno più attenzione a Firefox - e quindi troveranno più buchi in esso - mentre guadagnano quote di mercato contro IE.

Per mantenere sicuro Firefox, gli utenti di Mozilla ha assemblato un nuovo aggiornamento per il browser che patch un lotto di buchi di sicurezza, alcuni dei quali critici. Un bug si sofferma nella funzione di ripristino della sessione del browser. Altri potrebbero consentire a un utente malintenzionato di sfruttare i buchi nel motore JavaScript di Firefox (un popolare linguaggio di programmazione Web) per consentire a un utente malintenzionato di assumere il controllo del PC.

Questa versione - Firefox 2.0.0.20 - sarà l'ultimo aggiornamento per la protezione Linea Firefox 2, i funzionari di Mozilla annunciati in un post sul blog. Perché? Ha senso supportare un singolo codice base, quindi Mozilla sta sollecitando gli utenti a spostarsi su Firefox 3 (attualmente alla versione 3.0.5). Otto delle nuove patch sono valide sia per la versione 2 che per la versione 3.

Se non si dispone già dell'aggiornamento installato tramite la funzione di aggiornamento automatico di Firefox, è possibile scaricarlo nella pagina dei download di Mozilla per Firefox. Dal browser, selezionare Guida, Verifica aggiornamenti.

Questo è tutto per me. Spero di rivederti ancora una volta, più in basso nella superstrada dell'informazione.