Microsoft Fixes IE, Office i stor månad för säkerhetsuppdateringar

Microsoft släppte patchar för att fixa 19 kritiska sårbarheter i programvaran tisdag, inklusive fem brister i sin Internet Explorer-webbläsare som säkerhetsexperter uppmanar IT-administratörer att omedelbart patchera.

Totalt 11 säkerhets uppdateringar som släpptes för augusti är den största omgången av Patch Tuesday uppdateringar som Microsoft har släppt sedan februari i februari och bör ge IT-administratörer mycket att göra för att säkra deras företags system. "Människor kommer att vara ganska upptagna med den här belastningen", säger Jason Miller, säkerhetsdatabasledare för Shavlik Technologies, en patch-management-programvaruleverantör i St Paul, Minnesota.

Sex av fläckarna, som kan hittas på Microsofts webbplats, klassificeras som kritiska, medan fem är klassade som viktiga.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Miller och andra säkerhetsexperter citeras Microsofts säkerhetsbulletin MS08-045, en Kumulativ säkerhetsuppdatering för Internet Explorer, som topprioritet bland den här månadens parti uppdateringar. Uppdateringen korrigerar fem privata rapporterade sårbarheter och en som redan har publicerats offentligt och vilken angreppskod som redan existerar, vilket gör det till en nolldagars brist.

Don Leatham, chef för lösningar och strategi för Lumension Security, sa faktumet att IE-sårbarheterna påverkar HTML (Hypertext Markup Language) är tillräcklig anledning att göra patchering av yttersta vikt eftersom möjligheten att exploatera är så stor. "Varje webbplats i världen använder HTML," sa han. Lumension, baserad i Scottsdale, Arizona, tillhandahåller programvara och tjänster för patch- och sårbarhetshantering.

Shavliks Miller sa att IE-korrigeringsfilerna och en annan kritisk uppdatering släpptes tisdag som fixar en sårbarhet i ActiveX Control för ögonblicksbildsvisaren för Microsoft Access - - MS08-041 - är relaterade eftersom de båda tillåter en angripare att skapa en webbplats som utnyttjar dessa sårbarheter. Han listade dem båda som prioriteringar för omedelbar installation.

Leatham citerade också Snapshot Viewer-utnyttjandet som en hög prioritet för IT-administratörer eftersom många företag använder sig av Access och dess Snapshot Viewer-verktyg i stor utsträckning.

"Du kan vara säker på att människor använder tittaren ska dela information med partners, kunder och internt med tanke på populariteten hos Office-paketet och hur mycket företag tenderar att använda Access, säger han.

En uppdatering som åtgärdar en sårbarhet i Microsoft Windows Image Color Management System - MS08-046 - bör också installeras omedelbart eftersom det kan tillåta en attack om en användare navigerar till en webbsida och visar en viss grafik, sa forskare. Färghanteringssystemet är en del av det grafiska delsystemet i Windows.

"Eftersom [sårbarheten] är webbaserad och grafisk vill du definitivt ägna särskild uppmärksamhet åt den," sade Leatham.

Uppdateringar av två augusti som är viktiga bör också vara av intresse för IT-proffs, även om Microsoft har betygsatt dem under de kritiska uppdateringarna. De är MS08-047, vilket fixar en sårbarhet i IPsec Policy-bearbetning och MS08-50, vilket korrigerar ett fel i Messenger.

Även om Microsoft inte betygsätter brister som möjliggör informationsutlämning som kritisk, är IPsec-sårbarheten, vilken kunde vända vad folk tror att de är betrodda krypterade informationstunnlar till öppen textkommunikation, kan bli så för vissa företag som använder IPsec intensivt för att överföra kritisk data, till exempel hälsovårdsorganisationer som arbetar med konfidentiell patientinformation, säger Leatham. har inte klassificerat sårbarheten för Messenger som kritisk eftersom den endast handlar om informationsutlämning Det öppnar dock möjligheten till en "socialteknisk attack som vi inte har sett tidigare" och bör tas på allvar, säger Amol Sarwate, chef för sårbarhetsforskningslaboratoriet vid Qualys. Qualys, som ligger i Redwood Shores, Kalifornien, tillhandahåller tjänster för sårbarhetshantering och policyöverensstämmelse.

"Det gör det möjligt för angripare att bjuda in personer för ljud- eller videokonferenser genom att ersätta ett offer," sa han och noterade att det också är en sju dagars sårbarhet.

I förra torsdagen sa Microsoft att det förväntades släppa 12 säkerhetsuppdateringar på tisdag som en del av sin månatliga patchcykel, kallad patch Tuesday av säkerhetsforskare, men i sista minuten drog en av de uppdateringarna på grund av kvalitetsproblem, sa företaget.

Microsoft lämnade inte ytterligare information om om och när det skulle släppa uppdateringen; Men när uppdateringar har dras i sista minuten före, släpps de vanligtvis som en del av nästa månads patchcykel.

Även komplicerade saker denna månad är en ny säkerhetsrådgivning och patch som Microsoft skickade ut för verktyget som många företag använder att patchera Microsoft-program, Windows Server Update Services, sade Leatham. Han rådde att företag försäkrar att de uppdaterar verktyget och verifierar att det fungerar ordentligt innan du installerar August-patchar.

"Det var en udda bugg som orsakade att vissa säkerhetsfläckar inte skulle sättas in i organisationer," sade Leatham. "Du vill se till att din WSUS-server har blivit patched" innan du installerar en annan uppdateringsrunda.