Video: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (September 2024)
Microsoft lanserade en uppdatering för Internet Explorer för att stänga nolldagars sårbarheten som redan använts i flera riktade attacker nyligen.
Microsofts out-of-band-uppdatering adresserar den kritiska bristen i Internet Explorer version 6, 7 och 8, sade företaget i sin säkerhetsrådgivning idag. Företaget hade tidigare släppt en Fix-It som en lösning för att tillfälligt stänga frågan. Användare som har installerat Fix-It behöver inte avinstallera det innan de applicerar korrigeringsfilen, sade Microsoft.
"Majoriteten av kunderna har automatiska uppdateringar aktiverade och kommer inte att behöva vidta några åtgärder eftersom skydd kommer att laddas ner och installeras automatiskt, " sade Microsoft i den rådgivande. Användare som uppdaterar IE manuellt uppmanas starkt att tillämpa uppdateringen så snabbt som möjligt.
Det är viktigt att notera att Microsoft släppte en patch och inte en kumulativ uppdatering, säger Wolfgang Kandek, CTO för Qualys. Användarna måste först se till att deras version av Internet Explorer är uppdaterad (och har MS12-077) innan de applicerar korrigeringsfilen (MS13-008), sade Kandek.
Out of Band Patch
Den här korrigeringen kommer en vecka efter Microsofts planerade månatliga släpp på Patch Tuesday. Många säkerhetsexperter hade undrat om det innebar att företaget planerade att vänta till februari för att fixa felet.
"Jag skulle inte bli förvånad över att se en annan IE-bulletin i februari utöver dagens patch", sa Andrew Storms, chef för säkerhetsoperationer på nCircle. Regelbundna webbläsarfixar är bra eftersom angripare i allt högre grad attackerar webbläsare, sade Storms.
Forskare på FireEye upptäckte i december att webbplatsen Council on Foreign Relations hade äventyrats och infekterade besökare med äldre versioner av Internet Explorer genom att utnyttja denna sårbarhet. När nolldagars bristen hade identifierats, avslöjade andra forskare liknande attacker på andra webbplatser, inklusive mikroturbinsystemtillverkaren Capstone Turbine och två kinesiska mänskliga rättigheter. Microsoft släppte en tillfällig fix, men forskare vid Exodus Intelligence kunde kringgå Fix-It och utlösa säkerhetshålet.
Medan företaget arbetade ganska snabbt för att släppa den här korrigeringen finns det fortfarande en "stor sannolikhet" för att många användare inte har vidtagit de nödvändiga stegen, och en stor del av IE-användare kommer att förbli oskyddade, Mark Elliott, verkställande direktör för produkter på Quarri Technologies, berättade för SecurityWatch . Detta understryker hur företagen ofta är "tack vare hur skickliga slutanvändare är på att vara säkerhetsadministratör", sade Elliott.
Användare uppmuntras också att uppgradera till Internet Explorer 9 eller 10. Problemet berör främst användare som fortfarande kör Windows XP, som inte kan köra de nyare versionerna av IE.
"Eftersom dessa korrigeringar adresserar sårbarheter som utnyttjas i naturen, är det viktigt att korrigeringsfilerna distribueras så snart som möjligt, " säger Marc Maiffret, CTO för BeyondTrust, till SecurityWatch .
För mer från Fahmida, följ henne på Twitter @zdFYRashid.
