Vídeo: ERROR PENALTY ZERO BUGEADO - LO TENGO PERMANENTE?? - WOLFTEAM LATINO (De novembre 2024)
Microsoft va desplegar una actualització per a Internet Explorer per tancar la vulnerabilitat del dia zero que ja s’havia utilitzat en diversos atacs objectiu recentment.
L'actualització fora de banda de Microsoft tracta el defecte crític de les versions 6, 7 i 8 de l'Internet Explorer, segons va dir la companyia en el seu assessorament de seguretat d'avui. La companyia havia publicat anteriorment un Fix-It com a solució de solució per tancar el problema de manera temporal. Microsoft diu que els usuaris que hagin instal·lat el Fix-It no necessiten desinstal·lar-lo abans d’aplicar el pegat.
"La majoria dels clients tenen actualitzacions automàtiques habilitades i no necessitaran accions perquè les proteccions es descarregaran i s'instal·laran automàticament", va dir Microsoft a l'avis. Els usuaris que actualitzen manualment IE són animats intensament a aplicar l’actualització el més ràpidament possible.
És important tenir en compte que Microsoft va publicar un pegat i no una actualització acumulada, va dir Wolfgang Kandek, CTO de Qualys. Primer s'ha d'assegurar que la seva versió d'Internet Explorer estigui actualitzada (i que tingui MS12-077) instal·lada abans d'aplicar el pegat (MS13-008), va dir Kandek.
Fora de banda de pedaç
Aquest pegat es produeix una setmana després de la publicació mensual de Microsoft. Molts experts en seguretat s’havien preguntat si això significava que l’empresa tenia previst esperar fins al febrer per solucionar l’error.
"No m'estranyaria gens veure un altre butlletí d'IE al febrer a més del pegat d'avui", va dir Andrew Storms, director d'operacions de seguretat de nCircle. Els pegats regulars del navegador són una bona cosa perquè els atacants ataquen cada cop més els navegadors web, va dir Storms.
Els investigadors de FireEye van descobrir al desembre que el lloc web del Consell sobre Relacions Exteriors havia estat compromès i contaminava els visitants amb versions anteriors d'Internet Explorer mitjançant la seva explotació. Un cop identificat el defecte del dia zero, altres investigadors van descobrir atacs similars a altres llocs, inclòs el fabricant de sistemes de microturbina Capstone Turbine i dos llocs xinesos de drets humans. Microsoft va llançar una correcció temporal, però els investigadors de Exodus Intelligence van poder obviar el Fix-It i desencadenar el forat de seguretat.
Si bé la companyia va treballar bastant ràpidament per llançar aquest pegat, encara hi ha una "alta probabilitat" que molts usuaris no hagin fet els passos necessaris, i una gran part dels usuaris de l'IE romandran sense protecció, segons Mark Elliott, vicepresident executiu de productes. Quarri Technologies, va dir a SecurityWatch . Això subratlla que les empreses solen ser "a mercè de com els usuaris finals qualificats són administrador de seguretat", va dir Elliott.
Els usuaris també se’ls convida a actualitzar a Internet Explorer 9 o 10. El problema afecta principalment els usuaris que encara funcionen amb Windows XP, que no poden executar les versions més noves d’IE.
"Com que aquests pegats aborden les vulnerabilitats que s'estan explotant en estat salvatge, és crític que els pegats es despleguin tan aviat com sigui possible", va dir a SecurityWatch Marc Maiffret, CTO de BeyondTrust.
Per obtenir més informació sobre Fahmida, seguiu-la a Twitter @zdFYRashid.