Fel och korrigeringar: En sällsynt nödsituation från Microsoft

Microsoft kanske har känt sig som den lilla nederländska pojken under den senaste månaden, pluggar hål med vanliga patchar och med sällsynta lösningar utan cykel i ett försök att förhindra att angripare häller sig igenom.

Utanför cykelplåstret, som är kritiskt för alla versioner av Internet Explorer 2000, XP och Vista, adresseras IE: s hantering av felaktiga ActiveX-kontroller som skapats med Microsoft Active Template Library ATL), ett utvecklingsverktyg som ingår i Visual Studio. Riskfyllda datorer kan drabbas av en attack-by-download-attack. Denna allvarliga sårbarhet påverkar många ActiveX-kontroller. Till exempel bekräftade Adobe på sin säkerhetswebbplats att dess Shockwave och Flash Player ActiveX kontrollerar "hävdar sårbara versioner av ATL" och att det fungerar på en fix. Problemet påverkar också IE på Windows Server 2003 och 2008, men är klassificerat måttligt svårt på de operativsystemen.

Zero-Day Fixes

Microsofts regelbundna Patch Tuesday-utgåva stängde många andra hål, inklusive en nolldagarsfel som hade har attackerats och involverat en ActiveX-kontroll som används av Microsoft Video. Även om plåstret inaktiverade kontrollen, som inte fungerade som ett legitimt syfte, rättade den inte underliggande fel. Korrigeringen, som är kritisk för Windows XP och måttlig för Windows Server 2003, påverkar inte Windows 2000, Vista eller Server 2008.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

En andra fix stoppas attacker på Microsoft DirectShows behandling av QuickTime-innehåll. Attackerna, som inte berodde på att Apples QuickTime installerats, skulle kunna utlösa om ett offer öppnade eller förhandsgranskade en förgiftad QuickTime-fil. DirectX 7, 8.1 och 9.0 på Windows 2000 behöver åtgärden, liksom DirectX 9.0 på XP och Server 2003. Vista och Server 2008 får ett pass.

Andra kritiska korrigeringar adresserade hål i hur alla stödda versioner av Windows hanterar teckensnitt i Webbsidor, e-post och Office-dokument. Bristerna i den inbyggda OpenType-fontmotorn hade inte attackerats före patchfrigöringen, men de är doozies.

En allvarlig fel i Microsoft Office Web Components innebär ett ActiveX-problem som tillåter attacker på IE-användare. Ett brett utbud av Office-komponenter och versioner behöver fixa;

Du kan fånga alla ovannämnda korrigeringar via Windows Update.

Adobe och Firefox-patchar

Microsoft var inte den enda som lider av en noll -dagshotet under den senaste månaden. Adobe, ett annat populärt mål, utfärdade korrigeringar för Flash (på alla plattformar), samt för Reader, Air och Acrobat, efter rapporter om attacker som använde förgifta PDF-filer för att utnyttja Flash-brister. För att skydda mot dessa fleråriga attacker, var noga med att uppdatera alla dina Adobe-appar. Ta Flash version 10.0.32.18 och den senaste Air på Adobes webbplats. För Reader, uppdatera till version 9.1.3 genom att öppna programmet och välj Verktyg, Kontrollera efter uppdateringar. Se Adobes säkerhetsbulletin för länkar till Acrobat-uppdateringar för Mac och Windows, tillsammans med mer information.

För att paketera upp dina måste måste Firefox-användare uppgradera till den senaste tillgängliga versionen för att tillämpa flera korrigeringar för olika hål i versioner 3 och 3.5, inklusive en allvarlig fel i 3.5: s hantering av JavaScript, plus ett problem som påverkar Firefox 3: s användning av SSL-certifikat för att kryptera säkra webbanslutningar (3.5 var redan säker från den felaktigheten). Klicka på Hjälp, Kontrollera efter uppdateringar för att bekräfta att du har den senaste versionen. Och om du fortfarande är på version 3, besök Firefox-webbplatsen för att ladda ner 3.5; Det är en relativt smärtfri uppgradering.