Rumah Jam keamanan Perbaikan Microsoft yaitu bug zero-day dengan pembaruan darurat

Perbaikan Microsoft yaitu bug zero-day dengan pembaruan darurat

Video: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (Desember 2024)

Video: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (Desember 2024)
Anonim

Microsoft meluncurkan pembaruan untuk Internet Explorer untuk menutup kerentanan zero-day yang telah digunakan dalam beberapa serangan yang ditargetkan baru-baru ini.

Pembaruan Microsoft out-of-band mengatasi kelemahan kritis dalam Internet Explorer versi 6, 7, dan 8, kata perusahaan itu dalam penasihat keamanannya hari ini. Perusahaan sebelumnya telah merilis Fix-It sebagai solusi untuk sementara waktu menutup masalah. Pengguna yang telah menginstal Fix-It tidak perlu menghapus instalannya sebelum menerapkan tambalan, kata Microsoft.

"Mayoritas pelanggan memiliki pembaruan otomatis yang diaktifkan dan tidak perlu mengambil tindakan apa pun karena perlindungan akan diunduh dan diinstal secara otomatis, " kata Microsoft dalam penasehatnya. Pengguna yang memperbarui IE secara manual sangat disarankan untuk menerapkan pembaruan secepat mungkin.

Penting untuk dicatat bahwa Microsoft merilis patch dan bukan pembaruan kumulatif, kata Wolfgang Kandek, CTO dari Qualys. Pengguna harus terlebih dahulu memastikan versi Internet Explorer mereka terbaru (dan memiliki MS12-077) diinstal sebelum menerapkan tambalan (MS13-008), kata Kandek.

Keluar dari Band Patch

Patch ini muncul seminggu setelah Microsoft merilis Patch Tuesday bulanan yang dijadwalkan. Banyak pakar keamanan bertanya-tanya apakah itu berarti perusahaan berencana untuk menunggu hingga Februari untuk memperbaiki bug.

"Saya sama sekali tidak akan terkejut melihat buletin IE lain di bulan Februari selain tambalan hari ini, " kata Andrew Storms, direktur operasi keamanan di nCircle. Patch browser reguler adalah hal yang baik karena penyerang semakin menyerang browser Web, kata Storms.

Para peneliti di FireEye menemukan pada bulan Desember bahwa situs web Council on Foreign Relations telah dikompromikan dan menginfeksi pengunjung menggunakan versi Internet Explorer yang lebih lama dengan mengeksploitasi kerentanan ini. Setelah kesalahan zero-day telah diidentifikasi, peneliti lain mengungkap serangan serupa di situs lain, termasuk produsen sistem mikroturbine Capstone Turbine dan dua situs hak asasi manusia Tiongkok. Microsoft merilis perbaikan sementara, tetapi para peneliti di Exodus Intelligence dapat mem-bypass Fix-It dan memicu celah keamanan.

Sementara perusahaan bekerja cukup cepat untuk melepaskan tambalan ini, masih ada "probabilitas tinggi" bahwa banyak pengguna belum mengambil langkah-langkah yang diperlukan, dan sebagian besar pengguna IE akan tetap tidak terlindungi, Mark Elliott, wakil presiden eksekutif produk di Quarri Technologies, kepada SecurityWatch . Ini menggarisbawahi bagaimana perusahaan sering "pada belas kasihan dari seberapa terampil pengguna akhir menjadi administrator keamanan, " kata Elliott.

Pengguna juga didorong untuk meningkatkan ke Internet Explorer 9 atau 10. Masalah ini mempengaruhi terutama pengguna yang masih menjalankan Windows XP, yang tidak dapat menjalankan versi IE yang lebih baru.

"Karena tambalan-tambalan ini mengatasi kerentanan yang dieksploitasi di alam liar, sangat penting tambalan-tambalan tersebut dikerahkan secepat mungkin, " Marc Maiffret, CTO dari BeyondTrust, mengatakan kepada SecurityWatch .

Untuk informasi lebih lanjut dari Fahmida, ikuti dia di Twitter @zdFYRashid.

Perbaikan Microsoft yaitu bug zero-day dengan pembaruan darurat