Patch Tuesday: Säkerställ fokusen som Microsoft, Oracle Patch Bugs

Det är mamma för alla patchdagar för företags IT-butiker, med både Microsoft och Oracle släppt kritiska mjukvaruuppdateringar på tisdag.

Microsoft startade tisdagsmorgon med 11 säkerhetsuppdateringar, inklusive korrigeringar för kritiska säkerhetsbuller i Windows Active Directory, Internet Explorer, Excel och Microsoft Host Integration Server, som integrerar Windows-datorer med IBM-mainframes.

Säkerhetsexperter säger att uppdateringen av Internet Explorer, som åtgärdar sex fel i webbläsaren, är den som ska titta på. Det beror på att det är kritiskt kritiskt för Internet Explorer 6-användare som kör Windows XP - en mycket vanlig konfiguration i företaget.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Men kunder som kör Windows Active Directory på äldre Windows 2000-maskiner ska flytta MS08-060 Active Directory-uppdateringen till toppen av sin patchkö, säger Don Leatham, en chef för lösningar och strategi vid Lumension Security. Eftersom en Active Directory-server kan användas för att ställa in behörigheter på andra maskiner och hantera användare i nätverket, tar över denna maskin "det skulle vara den heliga graden för någon som försöker komma in i ett företag och helt störa det", sa han. > Normalt blockeras Active Directory-servrar i brandväggen, vilket innebär att en angripare troligen måste vara på ett internt nätverk för att kunna montera en attack, säger Eric Schultze, chefstekniker med Shavlik Technologies. Men buggan "betyder en intern, missnöjd användare kan ta fullständig kontroll över Windows 2000-domäner och domänkontrollanter," sa han via snabbmeddelande.

Mitigering av denna oro är emellertid att Microsoft inte har rapporterat att detta Sårbarheten har utnyttjats i en attack. Även om det är troligt att en angripare kan krascha Windows 2000-maskinen genom att utnyttja den här felet, är det svårt att skapa fungerande exploateringskod för att utnyttja fjärrkörning, säger Microsoft i en anteckning på sin webbplats.

Totalt 20 säkerhetsproblem fixades i Microsofts 11 uppdateringar. Det fanns också sex mindre kritiska uppdateringar, som var "viktiga" av Microsoft, för olika Windows-komponenter och en "måttlig" korrigeringsfil som fixar en bugg som kan låta en angripare snoopa information från en Office-användare.

Oracles säkerhetsuppdateringar, förväntad kl 13.00 Stillahavsområdet kommer att innehålla korrigeringar för 36 buggar i en rad Oracle-produkter, inklusive företagets flaggskeppsdatabas, dess Application Server, E-Business Suite och WebLogic-server och utvecklingsverktyg. Bugfixar planeras också för företagets JD Edwards och PeopleSoft-produkter.

Det är ovanligt att både Microsoft och Oracle ska utskjuta patchar samma dag. Microsofts säkerhetsuppdateringar kommer ut på den andra tisdagen varje månad, känd som Patch Tuesday i branschen. Men Oracles fläckar är kvartalsvisa affärer, som levereras på tisdag närmast på mitten av månaden. Vanligtvis sätter Oracle-patcharna på den tredje tisdagen i månaden, men den här månaden konvergerades Microsoft och Oracle.

Tisdagens Microsoft-uppdateringar kom med lite mer information till företagets kunder. De innehöll en ny sektion som heter "Exploitability Index", som är utformad för att underlätta för Windows-användare att ta reda på vilka fel som sannolikt kommer att utnyttjas av hackare.

Microsoft har nu betygsatt alla säkerhetsuppdateringar med följande beskrivningar: "Konsekvent användningskod sannolikt", "Inkonsekvent användbarhetskod sannolikt" eller "Funktionsutnyttjande kod osannolikt."

Företaget sa att exploateringskoden troligtvis var för fel i den kritiska Internet Explorer, Microsoft Host Integration Server och Excel-uppdateringar. En av Internet Explorer-buggarna, som skulle kunna låta en angripare få förhöjda behörigheter på en Windows-maskin, har redan offentliggjorts, men det anses inte ha använts i verkliga attacker, sa Microsoft.

En annan först: Microsoft gav vissa säkerhetspartners tidig tillgång till uppdateringar den här månaden så att de kunde rulla attackdetektering i programvaran när patcharna släpptes på tisdag.