Video: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (Nobyembre 2024)
Ang Microsoft ay naglunsad ng isang pag-update para sa Internet Explorer upang isara ang pagkabulok ng zero-day na ginamit na sa ilang mga target na pag-atake kamakailan.
Ang pag-update ng out-of-band ng Microsoft ay tumutukoy sa kritikal na kapintasan sa mga bersyon ng Internet Explorer 6, 7, at 8, sinabi ng kumpanya sa advisory ng seguridad ngayon. Ang kumpanya ay dati nang naglabas ng Fix-It bilang isang workaround upang pansamantalang isara ang isyu. Ang mga gumagamit na naka-install ng Fix-Hindi na kailangang i-uninstall ito bago ilapat ang patch, sinabi ni Microsoft.
"Ang karamihan ng mga customer ay pinagana ang awtomatikong pag-update at hindi na kailangang gumawa ng anumang aksyon dahil ang mga proteksyon ay mai-download at awtomatikong mai-install, " sabi ni Microsoft sa advisory. Ang mga gumagamit na mano-update ang IE nang manu-mano ay mariing hinihikayat na mailapat ang pag-update nang mabilis hangga't maaari.
Mahalagang tandaan na ang Microsoft ay naglabas ng isang patch at hindi isang pinagsama-samang pag-update, sinabi ni Wolfgang Kandek, CTO ng Qualys. Kailangang tiyakin ng mga gumagamit na ang kanilang bersyon ng Internet Explorer ay napapanahon (at may naka-install na MS12-077) bago ilapat ang patch (MS13-008), sinabi ni Kandek.
Palabas ng Band Patch
Ang patch na ito ay darating isang linggo pagkatapos ng nakatakdang buwanang paglabas ng buwan ng Patch Martes ng Microsoft. Maraming mga eksperto sa seguridad ang nagtaka kung nangangahulugang ang kumpanya ay nagpaplano na maghintay hanggang sa Pebrero upang ayusin ang bug.
"Hindi ako magtataka nang makita ang isa pang bulletin ng IE noong Pebrero bilang karagdagan sa patch ngayon, " sabi ni Andrew Storms, direktor ng mga operasyon sa seguridad sa nCircle. Ang mga regular na mga patch sa browser ay isang magandang bagay dahil ang mga umaatake ay lalong umaatake sa mga browser ng Web, sinabi ng Storm.
Natuklasan ng mga mananaliksik sa FireEye noong Disyembre na ang website ng Council on Foreign Relations ay na-kompromiso at nakakahawa sa mga bisita na gumagamit ng mga mas lumang bersyon ng Internet Explorer sa pamamagitan ng pagsasamantala sa kahinaan na ito. Nang matukoy ang zero-day flaw, ang iba pang mga mananaliksik ay walang takip na mga pag-atake sa iba pang mga site, kasama ang tagagawa ng microturbine system na Capstone Turbine at dalawang mga site ng karapatang pantao. Ang Microsoft ay naglabas ng isang pansamantalang pag-aayos, ngunit ang mga mananaliksik sa Exodo Intelligence ay nagawang makaligta sa Pag-ayos-Ito at mag-trigger ng butas ng seguridad.
Habang ang kumpanya ay nagtrabaho nang mabilis upang palayain ang patch na ito, mayroon pa ring isang "mataas na posibilidad" na maraming mga gumagamit ay hindi kinuha ang mga kinakailangang hakbang, at ang isang malaking bahagi ng mga gumagamit ng IE ay mananatiling hindi protektado, Mark Elliott, executive vice president ng mga produkto sa Quarri Technologies, sinabi sa SecurityWatch . Binibigyang diin nito kung paano ang mga negosyo ay madalas na "sa awa ng kung paano ang mga bihasang gumagamit ng end ay nasa pagiging isang tagapamahala ng seguridad, " sabi ni Elliott.
Hinihikayat din ang mga gumagamit na mag-upgrade sa Internet Explorer 9 o 10. Ang isyu ay nakakaapekto sa mga pangunahing gumagamit na nagpapatakbo pa rin ng Windows XP, na hindi maaaring patakbuhin ang mga mas bagong bersyon ng IE.
"Yamang ang mga patch na ito ay tinutugunan ang mga kahinaan sa ligaw, kritikal na ang mga patch ay na-deploy sa lalong madaling panahon, " sinabi ni Marc Maiffret, CTO ng BeyondTrust, sa SecurityWatch .
Para sa higit pa mula sa Fahmida, sundan mo siya sa Twitter @zdFYRashid.
