Обновление патча в ноябре Микрософт заботится о 19 уязвимостях, но оставляет по крайней мере один критический недостаток неисправленным.Патч в ноябре Микрософт во вторник обновляет, сейчас отсутствует, и еще раз веб-браузер MSIE наверху перечня.
Всего, Микрософт выпустила восемь бюллетеней безопасности сейчас, фиксировав 19 уязвимостей совокупности обеспечения безопасности.Из 19 недостатков, 11 конкретно связаны с весьма порочившим браузером MSIE Микрософт.
Одна из уязвимостей IE идентифицируется как CVE-2013-3918, что есть весьма критическим недостатком нулевого дня, что уже широко применяется в природе.В соответствии с консультации безопасности Микрософт на недостатке, уязвимость связана с элементом управления ActiveX для класса «InformationCardSigninHelper».«Уязвимость имела возможность разрешить удаленное исполнение кода, в случае если пользователь просматривает намерено обработанную веб-страницу с MSIE, инстанцируя элемента управления ActiveX», Микрософт даёт предупреждение на ее консультации.Недостаток нулевого дня в MSIE находится вправду в компоненте Active X и обращен, легко отключив ActiveX с установлением KillBit, которое есть тем, что MS13-090 делает, Вольфганг Кандек, CTO эксперта по безопасности, которого Qualys сообщил eWEEK.
«Базисные уязвимости должны будут быть обращены с отдельными патчами в том компоненте ActiveX и в компоненте Windows, что пропускает адресную данные», сообщил Кэндек. «Но это определенное наступление прекрасно заботится о, и мы можем ожидать настоящих патчей, каковые будут поставлены на дату в будущем».В дополнение к патчу нулевого дня Микрософт кроме этого имеет кумулятивный патч IE. В большинстве случаев, Микрософт свернет все собственные обновления IE в единственную консультацию, но это не то, что случилось в этом месяце.
CVE-2013-3918 кроме этого пара неповторим в той Микрософт, сделал его независимым исправлением и не часть кумулятивного обновления MS13-088 IE. Консультация MS12-088 исправляет 10 отдельных уязвимостей IE, охватывая IE 6 всецело к последним выпускам браузера IE 11.Влияние наличия нулевого дня IE в отдельном бюллетене не огромно, сообщил Тайлер Регули, технический менеджер научных изучений безопасности в компании безопасности Растяжка, eWEEK.«Самое громадное беспокойство было бы администраторами, каковые по неточности устанавливают IE кумулятивное обновление, ожидая, что он разрешит нулевой сутки», сообщил Регули. «Мы должны удостовериться, что размещение патча нулевого дня [MS13-090] передается весьма светло всем, независимо от их участия в сообществе безопасности».
Тогда как Микрософт фиксировала один недостаток нулевого дня с патчем MS13-090, существует все еще еще один недостаток нулевого дня, что покинули неисправленным. Существует кроме этого уязвимость формата графики РАЗМОЛВКИ, которая употребляется в природе. Микрософт выпустила «исправление – это» обходное ответ для неприятности, не смотря на то, что полный патч не на данный момент дешёв.Существует неизменно беспокойство, в то время, когда существует нулевой сутки в природе, сообщил Регули.
«Я желал бы видеть внеполосный патч для ответа этого вопроса, но реальность – то, что мы не будем, возможно, видеть патч для этого до Патча в декабре во вторник», сообщил Кэндек. «Тем временем администраторы должны остаться бдительными при контроле их сетей и, в случае если это быть может, отключить файлы РАЗМОЛВКИ».С первым публичным заявлением о недостатке семь дней назад, больше атакующих сейчас трудится над реверсивным проектированием недостатка, сообщил Kandek Qualys.«Я советовал бы, дабы все внесли изменение реестра на всех автомобилях, либо с их инструментом управления совокупностью, либо выставив тот файл MSI, что Микрософт делает дешёвым в KB2896666», Кэндек рекомендовал.
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.