Video: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (Oktober 2024)
Microsoft lanserte en oppdatering for Internet Explorer for å lukke nulldagers sårbarheten som allerede hadde blitt brukt i flere målrettede angrep nylig.
Microsofts out-of-band-oppdatering adresserer den kritiske feilen i Internet Explorer versjoner 6, 7 og 8, sa selskapet i sin sikkerhetsrådgivning i dag. Selskapet hadde tidligere utgitt en Fix-It som en løsning for å midlertidig lukke problemet. Brukere som har installert Fix-It, trenger ikke å avinstallere den før de bruker lappen, sa Microsoft.
"Flertallet av kundene har automatiske oppdateringer aktivert og trenger ikke å iverksette tiltak fordi beskyttelse vil lastes ned og installeres automatisk, " sa Microsoft i rådgivningen. Brukere som oppdaterer IE manuelt, blir sterkt oppfordret til å bruke oppdateringen så raskt som mulig.
Det er viktig å merke seg at Microsoft ga ut en oppdatering og ikke en kumulativ oppdatering, sa Wolfgang Kandek, CTO for Qualys. Brukere må først sørge for at deres versjon av Internet Explorer er oppdatert (og har MS12-077) før de bruker lappen (MS13-008), sa Kandek.
Out of Band Patch
Denne oppdateringen kommer en uke etter Microsofts planlagte månedlige Patch Tuesday-utgivelse. Mange sikkerhetseksperter hadde lurt på om det betydde at selskapet planla å vente til februar for å fikse feilen.
"Jeg ville overhode ikke bli overrasket over å se en annen IE-bulletin i februar i tillegg til dagens oppdatering, " sa Andrew Storms, direktør for sikkerhetsoperasjoner i nCircle. Vanlige nettleseroppdateringer er bra fordi angripere i økende grad angriper nettlesere, sa Storms.
Forskere ved FireEye oppdaget i desember at nettstedet Council on Foreign Relations hadde blitt kompromittert og smittet besøkende ved å bruke eldre versjoner av Internet Explorer ved å utnytte dette sikkerhetsproblemet. Når feilen på null dager var blitt identifisert, avdekket andre forskere lignende angrep på andre nettsteder, inkludert produsenten av mikroturbinsystemer Capstone Turbine og to kinesiske menneskerettighetsnettsteder. Microsoft ga ut en midlertidig løsning, men forskere ved Exodus Intelligence klarte å omgå Fix-It og utløse sikkerhetshullet.
Mens selskapet jobbet ganske raskt for å gi ut denne oppdateringen, er det fortsatt en "stor sannsynlighet" for at mange brukere ikke har tatt de nødvendige skritt, og en stor del av IE-brukere vil forbli ubeskyttet, Mark Elliott, konserndirektør for produkter hos Quarri Technologies, fortalte SecurityWatch . Dette understreker hvordan bedrifter ofte er "prisgitt hvor dyktige sluttbrukere er til å være en sikkerhetsadministrator, " sa Elliott.
Brukere oppfordres også til å oppgradere til Internet Explorer 9 eller 10. Problemet berører først og fremst brukere som fremdeles kjører Windows XP, som ikke kan kjøre de nyere versjonene av IE.
"Siden disse oppdateringene adresserer sårbarheter som blir utnyttet i naturen, er det viktig at lappene blir distribuert så snart som mulig, " sa Marc Maiffret, administrerende direktør for BeyondTrust, til SecurityWatch .
For mer fra Fahmida, følg henne på Twitter @zdFYRashid.
