Komponenter

Zap Zero-Day IE Attack Innan det kommer dig att bli

Internet Explorer Zero-Day Vulnerability Under Active Attack

Internet Explorer Zero-Day Vulnerability Under Active Attack

Innehållsförteckning:

Anonim

Jag känner lite nostalgi när jag skriver den här kolumnen eftersom det är dags för mig att underteckna Bugs & Fixes i åtta och ett halvt år - 102 kolumner totalt av. Jag har oerhört tyckt om att skriva för dig genom alla dessa år, och jag är tacksam att PC World gav mig möjlighet att göra det.

Jag har alltid haft två mål i åtanke: att hjälpa dig avvärja nuvarande hot och ge användbar information om hur säkerhetshål och attacker på dem fungerar så att du blir bättre förberedd för att hantera framtida problem. Jag hoppas att jag åtminstone har uppfyllt andan för dessa mål. Nu när min pappa tillbaka i Montana brukade säga: "Nuff sa."

Buggarna fortsätter marschera, men denna månad är inget undantag. Låt oss börja med Microsoft.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Trots att du nyligen patcherat fler fel - inklusive 23 kritiska sårbarheter - än vad som helst på någon annan gång under de senaste fem åren, Företaget har blindsided av en tidigare okänd bugg närvarande i alla stödda versioner av Internet Explorer (inklusive IE 8 Beta 2).

Den buggen skapade snabbt en våg av nollagangrepp på nätet, som dåliga killar slog på nätet före Microsoft hade utformat någon korrigeringsfil eller lösning för det.

Felet påverkar en nyckelfunktion som kallas "data-bindning" som IE bygger på när det gäller ett webbspråk som kallas XML; hålet innebär att det inte går att frigöra minnet ordentligt när det inte längre behövs.

Ett skadligt program kan utnyttja buggen genom att ladda sin egen kod i överskottsminnet för att ta över datorn. Om du besökte en booby-infångad webbplats eller klickade på en förgiftad länk i ett e-postmeddelande kunde du inte ens ställa in säkerhetsnivåerna i IE för att maximalt skulle ha stoppat det.

Microsofts utvecklare sprang ut en fix för att plugga hålet, men ansträngning tog en vecka; medan attackerna spred sig. Får mig inte fel: Klämmer ut en stor korrigering på bara åtta dagar är ingen liten prestation. Och Microsoft erkände att hotet var skrämmande för att motivera att släppa patchen "out of cycle", istället för att vänta på nästa "Patch Tuesday". Eftersom det var nödvändigt att få patchen ut pronto, gjorde Microsoft inte erbjuda IE-korrigeringen som en "kumulativ uppdatering". Det är en indikation på hur farligt Microsofts säkerhetsteam ansåg det här felet.

Eftersom attacker har inträffat "i det vilda" uppmanar Microsoft dig att få korrigeringsfilen ASAP (om du inte har automatiska uppdateringar aktiverade) från Microsofts säkerhetsbulletin MS08-078 sida.

Mer Microsoft Bugs

Vad sägs om de övriga 23 kritiska buggarna? Jag kan inte täcka dem alla här, men det här är de som verkar viktigast:

Innan nolldagsattackerna släppte släppte Microsoft en kumulativ patch för IE som fixar fyra kritiska hål i IE-versioner 5.01 (på Windows 2000 SP4) upp genom IE7 (på Vista SP1). Flera av svagheterna är tekniskt lika som nolldagsangreppshålet.

Till skillnad från Microsofts programvaruproblem har ingen av de 23 sårbarheterna attackerats än. Som vanligt, var noga med att hålla dina uppdateringar uppdaterade. Klicka över på Microsofts säkerhetsbulletin MS08-073 för mer information och för en länk till patcharna. Microsoft lappar också två hål i Windows grafikgränssnitt, vilket gör det möjligt för program att visa text och grafik i Windows Metafile-format, ett filformat som vanligtvis används för konst, illustrationer och presentationer. Du kanske tror att du laddar en bild när du i verkligheten redan har äventyrats. Som vanligt är det bara att attackera. Allt du behöver göra är att besöka en skadlig webbplats eller klicka på en länk till den i ett e -mail.

Om du inte redan får uppdateringar automatiskt, se Microsofts säkerhetsbulletin MS08-071 för mer information och en länk till korrigeringsfilen.

Två hål - den här gången i Windows Sök efter Windows Vista- -kan resultera i fullständig förlust av kontroll över din dator. Liksom IE-buggen, lämnar en av hålen i Search sig själv när den försöker frigöra tidigare använt minne. Vista har en funktion som kallas Windows Search som indexerar ditt system för att ge snabbare sökresultat och låta dig lagra sökningar efter återanvändning senare. Det knep som en av buggarna använder är att få dig att öppna och spara en riggerad sökfil genom att följa en felaktig länk i ett e-postmeddelande eller på en booby-infångad webbplats. Alla stick-in-the-mudder som fortfarande använder Windows XP är säkra. Endast Vista-system (inklusive SP1 och SP2 Beta) är i fara. Få mer information från Microsofts säkerhetsbulletin MS08-075.

Som de säger på TV: Men vänta, det finns mer! Microsoft klämde också in en rad buggar på Office, inklusive en kritisk bugg som påverkar Word 2007. Läs mer om alla dessa buggar och deras korrigeringar på sidan Sammanfattning av Microsofts säkerhetsbulletin för december 2008.

Killing Off Firefox 2

The senaste nolldagsangrepp har lett till att några pundits förnyar sin rekommendation om att IE-användare ändras till Firefox. Även om jag inte håller med om det här rådet, kommer hackare sannolikt att ägna mer uppmärksamhet åt Firefox - och därmed hitta fler hål i den - eftersom det får marknadsandelar mot IE.

För att hålla Firefox säkra, Mozilla har samlat en ny uppdatering för webbläsaren som patchar en rad säkerhetshål, flera av dem är kritiska. En bugg bor i webbläsarens återställningsfunktion. Andra kan låta en angripare dra nytta av hål i Firefox: s JavaScript (en populär webbprogrammeringsspråk) -motor för att låta en angripare ta över din dator.

Den här versionen - Firefox 2.0.0.20 - kommer att bli den sista säkerhetsuppdateringen för Firefox 2-linje, meddelade Mozilla-tjänstemän i ett blogginlägg. Varför? Det är vettigt att stödja en enda kodbas, så Mozilla uppmanar användarna att flytta till Firefox 3 (för närvarande på version 3.0.5). Åtta av de nya patcharna gäller både version 2 och version 3.

Om du inte redan har uppdateringen installerad via Firefox automatisk uppdateringsfunktion, kan du hämta den på Mozilla Firefox nedladdnings sida. Välj

Hjälp, Kontrollera efter uppdateringar från webbläsaren. Det är det för mig. Jag hoppas att vi ses igen en gång, längre ner informationen highway.

Mozilla-stiftelsen säger att det fortfarande är på rätt sätt att släppa Firefox 3.5 Beta 4 någon gång senare i veckan trots att det inte finns ett fast release datum. Beta 4 kommer sannolikt att vara den senaste testversionen innan Mozilla flyttar till Firefox 3.5. Mozilla har dock inte lyckats med många av Firefox 3.5: s deadlines: tidigare i år försenade Mozilla utgivningen av Beta 3 - två gånger - innan den fortsatte till Beta 4, och dumpade namnet Firefox 3.1 för snappier Firefox 3.5 för att

Mozilla-stiftelsen säger att det fortfarande är på rätt sätt att släppa Firefox 3.5 Beta 4 någon gång senare i veckan trots att det inte finns ett fast release datum. Beta 4 kommer sannolikt att vara den senaste testversionen innan Mozilla flyttar till Firefox 3.5. Mozilla har dock inte lyckats med många av Firefox 3.5: s deadlines: tidigare i år försenade Mozilla utgivningen av Beta 3 - två gånger - innan den fortsatte till Beta 4, och dumpade namnet Firefox 3.1 för snappier Firefox 3.5 för att

De flesta av de tidigare förseningarna härrörde från Firefox nya JavaScript-motor, TraceMonkey, som lovar att påskynda sidladdningar två gånger snabbare än Firefox 3.0 och nio gånger snabbare än Firefox 2.0 . För närvarande innehåller Beta 4 sju högprioriterande fel som kräver reparationer, varav fem involverar JavaScript-motorn.

Innan du går online för att förbeställa Microsofts Surface med Windows RT (Surface RT) -enhet från och med tisdag vid middagstid Eastern, vill du se till att det här är rätt enhet för dig. Behöver du köra traditionella Windows-program? Skulle du helst ha en enhet som har en hårdare tangentbordsdocka? Har du tittat på de andra Windows 8-drivna enheterna på väg? Att köpa en Windows RT-skiffer kommer inte att vara lika enkelt som att köpa en iPad eller Android-tablett, så innan du köper här tittar

Innan du går online för att förbeställa Microsofts Surface med Windows RT (Surface RT) -enhet från och med tisdag vid middagstid Eastern, vill du se till att det här är rätt enhet för dig. Behöver du köra traditionella Windows-program? Skulle du helst ha en enhet som har en hårdare tangentbordsdocka? Har du tittat på de andra Windows 8-drivna enheterna på väg? Att köpa en Windows RT-skiffer kommer inte att vara lika enkelt som att köpa en iPad eller Android-tablett, så innan du köper här tittar

Yta prissättning

Microsoft Office är den mest populära ordbehandlingspaketet när det gäller att generera dokument. Men många människor är helt omedveten om att varje gång du öppnar ett dokument skriver du in det, redigerar det, stänger det eller gör något annat än att andas på det. Personligt identifierande data som heter "metadata" samlas in och bifogas dokumentet . Upplysningar om denna information kan vara mycket skadliga i vissa situationer, så det lönar sig att spendera några minuter innan du skic

Microsoft Office är den mest populära ordbehandlingspaketet när det gäller att generera dokument. Men många människor är helt omedveten om att varje gång du öppnar ett dokument skriver du in det, redigerar det, stänger det eller gör något annat än att andas på det. Personligt identifierande data som heter "metadata" samlas in och bifogas dokumentet . Upplysningar om denna information kan vara mycket skadliga i vissa situationer, så det lönar sig att spendera några minuter innan du skic

För dokumentmetadatastädare måste du berätta om var filerna är aktuella. Bläddra bara till deras plats på din dator. Du kan också välja vilken typ av fil du vill rengöra.