Microsoft бросается на выпуск исправлений для браузера Explorer 8

Всего через 11 дней после публикации рекомендации Microsoft выпустила исправление для ошибки в Internet Explorer 8, которая в начале этого месяца омрачила Министерство труда США.

Быстрый выпуск этой патчей от Microsoft " является выдающимся примером реакции Microsoft на сообщество безопасности и их пользователей », - написал Эндрю Стормс, директор по безопасности операций для поставщика программного обеспечения безопасности Tripwire, в заявлении по электронной почте.

Этот бюллетень по безопасности IE8 (MS13-038) является одним из из 10, которые Microsoft выпустила во вторник в рамках выпуска «исправления вторника» исправлений ошибок и бюллетеней по безопасности, которые компания регулярно выпускает во второй вторник каждого месяца.

[Читать далее: Как удалить malwar e с вашего ПК с Windows]

Microsoft отмечена MS13-038 как критическая, и компания вместе с другими фирмами по безопасности советует тем, кто все еще работает IE8, немедленно применить исправление. Используя измененную веб-страницу Департамента труда, злоумышленники использовали эту уязвимость в попытке установить вредоносный код на машине любого посетителя, работающей в IE8. Microsoft выпустила временное исправление этой уязвимости на прошлой неделе.

Другой критический бюллетень, MS13-037, также влияет на Internet Explorer. Это обновление устраняет 11 проблем, которые позволили бы вводить вредоносный код в браузер с специально созданной веб-страницы, позволяя пользователю управлять компьютером. Обновление охватывает уязвимость PWN2Own, обнаруженную в начале этого года.

Те, кто работает под управлением Windows Server 2012, должны немедленно взглянуть на MS MS13-039. Это обновление устраняет уязвимость в Microsoft Web IIS (Internet Information Services), которая может быть использована при атаке на отказ в обслуживании (DoS), с использованием пакета HTTP. Поскольку это было бы относительно просто создать атаку с использованием этой уязвимости, организации должны как можно скорее применить это обновление, поскольку эксплойты, основанные на этой уязвимости, могут появиться всего за несколько недель, по словам Tripwire.

Ross Barrett, старший менеджер по вопросам безопасности в охранной фирме Rapid7, написал в заявлении, что «хотя атаки DoS обычно считаются вторым (или третьим) уровнем в плане риска, это может потенциально быть очень разрушительным для организации, поскольку многие удаленные службы и Интеграция с Active Directory основана на http.sys ", которая является сетевой подсистемой, используемой IIS.

« Успешный эксплойт этой ошибки может иметь серьезные последствия для общедоступных веб-серверов без какой-либо встроенной системы предотвращения вторжений » их. По сути, любой пользователь может запустить простую атаку, и сервер, по сути, будет отключен, - отметил Шторм. Он также отметил, что любая копия Microsoft Server 2012, а не только тех, которые функционируют как веб-серверы, может запускать IIS, например, сервер для Microsoft Exchange или SharePoint.

Семь оставшихся бюллетеней - ни один критический, а все считается важным адресом ошибки в Microsoft Lync, Publisher, Word, Visio, Windows Essentials,.Net и ядре Windows.