Microsoft Fixes IE Zero-Day Flaw

Nackdagsfel som tillåts för attacker mot Internet Explorer 6 och 7, som avslöjades i slutet av november, hämtar kritiska korrigeringar i dagens patch Tuesday, liksom Microsoft Office Project och Server 2008.

Den kumulativa IE-uppdateringen, MS09-072, sträcker upp fem olika säkerhetsbuggar som påverkar IE 6, 7 och 8. Medan allmänt tillgänglig exploateringskod för IE 6 och 7 noll-dagen inte alltid utlöser en framgångsrik attack i labtestning tilldelar Microsoft denna patch a 1 rating på Exploitability Index, vilket innebär att bolaget anser att konsekventa attacker är troliga. Åtminstone en av bristerna kan attackeras genom att bara se en förgiftad webbsida.

Uppdateringen är kritisk för IE 5 på Windows 2000, IE 6 på Windows XP eller Server 2003 och IE 7 på XP och Vista. Det är också viktigt för IE 8 på XP, Vista och Windows 7, men priserna är moderata snarare än kritiska för IE 7 på Server 2003 och Server 2008 samt IE 8 på Server 2003 och Server 2008. För mer information se MS09- 072 bulletin.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

En andra bulletin adresserar brister i Microsoft Office Project som kan utlösas genom att öppna en skadlig projektfil. MS09-074 är endast kritisk kritisk för Microsoft Project 2000 Service Release 1 och viktig för Project 2002 SP 1 och 2003 SP 3. Projekt 2007 påverkas inte.

Windows Server 2008 har en kritisk risk från den tredje fasta felet i Internet Authentication Service. Endast servrar som använder PEAP med MS-CHAP v2-autentisering är i fara enligt MS09-071-bulletinen, som är viktig eller måttlig för Windows 2000, XP, Server 2003, Vista och Server 2008.

Ytterligare viktiga uppdateringar fixa en säkerhetsavkänning i Windows 2000, XP och Server 2003 (MS09-069), tillsammans med ett fel som involverar HTTP-förfrågningar som skickas till en Server 2003 eller Server 2008 webbserver (MS09-070). En slutlig patch, MS09-073, tar hand om en bugg i WordPad och Office Text Converters som kan utlösas genom att öppna ett skadligt dokument.

Slå upp Microsoft Update för att hämta alla dessa patchar och för mer information se Microsofts säkerhetsbulletin Sammanfattning för december 2009, och även MSRC-posten.