Необходимые исправления безопасности для IE7, Microsoft Servers

Сегодняшняя ежемесячная пакетная патч от Microsoft исправляет критический недостаток в Internet Explorer 7, который позволяет вредоносному веб-сайту устанавливать вредоносное ПО на уязвимом ПК, а также патч для диаграммы Visio программного обеспечения. А бизнесмены, которые запускают сервер Microsoft Exchange или SQL, захотят сразу же применить основные исправления.

В бюллетене Microsoft говорится, что код атаки, который нацелен на ошибку MS09-002 IE7, может быть легко обработан, поэтому убедитесь, что вы получили это через Центр обновления Windows. В Internet Storm Center сообщается, что до сих пор не существует известных атак, но это затрагивает как XP, так и Vista. Но только IE7, интересно, а не более ранние версии браузера.

Вы также найдете исправление для программного обеспечения Visio, которое может позволить злоумышленнику запустить любую команду, если вы откроете взломанный файл Visio. Программа популярна среди сетевых и серверных администраторов, которые обычно имеют далеко идущие разрешения в своих сетях, поэтому я бы не удивился, увидев, что целенаправленная атака идет по этому пути после этого недостатка. Получите дополнительную информацию и патч из бюллетеня MS09-005.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Два других исправления для серверов - Exchange и SQL-сервер. Там был код эксплойта для ошибки SQL-сервера с декабря, согласно ISC, поэтому, если у вас есть общедоступный SQL-сервер в вашей компании (через веб-сайт), заплатите аварийное исправление, чтобы предотвратить инъекцию SQL или другую атаку, Подробнее см. На странице MS09-004.

Сделайте то же самое для своего сервера Exchange, который может быть передан специально обработанным сообщением TNEF, отправленным ему злоумышленником. По словам ISC, никаких известных атак против этого пока нет, но не ждите, пока он появится. Это MS09-003 для MS09-003.

Обновление. Что касается уязвимости SQL Server MS09-004, Microsoft заявляет, что, хотя недостаток может быть нацелен после успешной атаки SQL-инъекции, ошибка MS09-004 сама по себе не является SQL инъекции.