Microsoft fikser kritiske internet explorer-feil for kan lappe tirsdag

Microsoft fikset 33 sårbarheter over ti bulletiner i Internet Explorer, Office-applikasjoner, Windows,.NET framework og Lync som en del av utgivelsen May Patch Tuesday.

Av de ti er det kun to bulletiner som er vurdert som "kritiske", med den høyeste alvorlighetsgraden, opplyser Microsoft i sin varslingsrådgivning om Patch Tuesday. De resterende lappene er vurdert som "viktige", noe som vanligvis betyr at angripere ikke ville kunne utnytte feilen uten brukerens deltakelse.

Paul 10, sikkerhets- og rettsmedisinske analytiker ved Lumension, sier at 10 plaster som dekker 33 sårbarheter kan virke som et høyt antall, men det er ikke alle dårlige nyheter for IT.

Rettelser for Internet Explorer

Begge viktige oppdateringene er for Internet Explorer. Det store spørsmålet for denne månedens oppdatering tirsdag var om Microsoft vil fikse den nylig rapporterte nulldagen i Internet Explorer 8. Microsoft ga ut en midlertidig løsning forrige uke og fulgte opp med en fullstendig lapp (MS13-038) i dag.

"Det er en lettelse å se at Microsoft har tatt opp dette så raskt, siden det blir aktivt utnyttet, " sa Henry.

Den andre IE-oppdateringen (MS13-037) er en kumulativ oppdatering for IE versjoner 6, 7, 8, 9 og 10, og lukker 11 forskjellige sårbarheter, inkludert sårbarhetene som ble rapportert under Pwn2Own-konkurransen tilbake i mars.

"På ett plan er dette Microsoft på deres beste sikkerhet, " sa Ross Barrett, senior manager for sikkerhetsteknikk i Rapid7, til SecurityWatch . Selskapet svarte omgående for å gi en offentlig rådgivende advarsel om problemet, skjøvet ut en midlertidig løsning og lukket deretter feilen som en del av en planlagt oppdatering, alt innen 11 dager.

På den annen side fremhever det faktum at Microsoft slipper viktige Internet Explorer-patcher praktisk talt hver måned hva som er galt med hvordan Microsoft håndterer patcher og eldre programvare, sa Barrett. Derimot oppdateres Googles Chrome-nettleser automatisk når fikser blir tilgjengelige, og det er ingen "gammel versjon" av nettleseren å bekymre seg for. Microsoft knytter ressurser til å opprettholde de eldre versjonene og utsetter brukerne for risiko, sa Barrett.

Andre oppslag å merke seg

Den andre bemerkelsesverdige bulletinen adresserer en tilstand som er avslått av tjenesten som påvirker HTTP-klienten og serveren i Windows (MS13-039). Problemet gjelder bare nyere versjoner av Windows, spesielt Windows Server 2012. Angrep som utnytter dette sikkerhetsproblemet kan "potensielt være veldig forstyrrende" siden mange eksterne tjenester og Active Directory-integrasjoner er avhengige av http.sys, sa Barrett.

"Alle IT-sikkerhetsgrupper bør hoppe raskt på dette, da en sannsynligvis vil bli utviklet en utnyttelse veldig raskt. En vellykket utnyttelse kan føre til at et DoS på berørte servere skaper midlertidige strømbrudd, " sier Lamar Bailey, direktør for sikkerhetsforskning og utvikling hos Tripwire.

Microsoft adresserte sårbarheter i forskjellige Office-produkter, for eksempel feilkjøring av kode i Microsoft Lync - tidligere Communicator- (MS13-041) og 11 problemer med hukommelseskorrupsjon i Publisher (MS13-042), og feil i Microsoft Word og Excel (MS13- 042). Lync-sårbarheten kan bare utnyttes hvis to brukere i en Lync-økt deler skadelig innhold. "Forhåpentligvis har ingen av brukerne dine Lync-samtaler med noen som prøver å angripe systemene dine. I så fall bør du være i orden, " sa Henry.

Forfalskning av forfalskning og autentisering av.NET (MS13-040) påvirker ikke standardkonfigurasjonen. En annen bulletin adresserte sårbarheter i informasjonsavsnitt i Windows Essentials 2012 (MS13-045). Microsoft fikset også tre lokale forhøyelser av rettighetsfeil i Windows Kernel-modusdrivere (MS13-046). Den alvorligste av feilene påvirker Windows XP og lar angripere kjøre prosesser i en forhøyet kontekst.

"Sørg for å lappe Internet Explorer (MS13-037 og MS13-038) så raskt som mulig, sammen med MS13-039 på internett-vendt web-servere, etterfulgt av resten av oppdateringene, " sier Marc Maiffret, CTO for BeyondTrust.