Microsoft今天表示,它将在下周发出八个安全更新,以修补Windows中的关键漏洞,即,旨在IE插入漏洞攻击者的攻击者已经过利于几个月。
Microsoft今天表示,下周将在Windows和Internet Explorer(IE)中修补八个安全更新,其中一个针对IE插入孔攻击者的漏洞攻击者已经过分利用了几个月。
“Internet Explorer的关键更新将是一个累积更新,将解决安全咨询2887505中描述的公开披露的问题,”Microsoft安全响应中心(MSRC)确认了Dustin Childs博客今天。
安全专家将IE更新确定为首先部署,引用该漏洞的一个漏洞已被日本和台湾用户的有针对性攻击的网络犯罪。
“IE始终是列表之后,”云安全供应商CloudPassage的Devops主任Andrew Storms,在今天的面试中。
9月17日,微软证实了这一点黑客正在利用一个关键的未被淘汰的脆弱性在Internet Explorer 8(IE8)和Internet Explorer 9(IE9)中。然而,该错误存在于浏览器的所有版本中,包括12岁的IE6和最新的IE11。
在接下来的两周内,安全公司报告说,攻击已针对日本和台湾组织自7月以来。本周早些时候,Exploit代码作为一个工作模块被添加到开源Metasploit普形框架中。研究人员预测,Metasploit的外观将导致一个增加袭击事件作为较少的黑客复制了代码并将其添加到武器化工具包中。
“一旦进入Metasploit,我预计微软早期发布了补丁,”今天的风暴说。“显然,补丁是完成的,但微软及其合作伙伴的遥测必须表明没有理由出发乐队。”
从历史上看,微软已经发布了“带外”的更新 - 那些在正常的月度发布时间表之外 - 仅当它相信大量客户面临风险时才会出现。该公司从未公开过披露如何何时何时发出带外的安全更新。
暴风雨说,10月份的补丁周二的早期日期 - 星期二 - 始终是本月的第二个星期二 - 可能会在微软决定举行更新而不是带外,风暴说。
IE更新只是Microsoft的四个评分“关键”中的一个。据Microsoft的Microsoft的说法,剩余的三个关键更新都针对Windows,包括应用于最新Windows 8,Windows RT,Windows 8.1和Windows RT 8.1高级通知今天分发。
专家建议客户在发布后尽快安装Windows更新。“公告2和3是通过堆栈的,并且最终比IE更新更加关注,”警告暴风雨“。
Microsoft表示Bulletin 3不影响Windows 8.1或Windows RT 8.1,但该公告2确实如此。
另外四个更新将在Excel中修补漏洞,其他办公室,SharePoint Collaboration Server软件和Silverlight,媒体格式Microsoft似乎已丢弃或至少对进一步开发的不感兴趣。
由于办公室相关的漏洞被排名为“重要”,即使微软说黑客可以利用他们在客户的个人电脑上播种恶意软件,因为风暴表示,任何攻击代码都需要对工作进行相当大的用户交互,如下载文件,打开共享文件夹或单击多个警告。
“通过驱动器被剥削不会发生,”暴风雨说,这是指最危险的攻击,这只需要用户访问恶意网站来触发漏洞利用。
微软将于10月8日左右发布下周的安全更新。等。
GREGG Keizer涵盖Computerworld的Microsoft,安全问题,Apple,Web浏览器和一般技术突发新闻。关注Twitter上的Gregg@gkeizer., 在Google+或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@computerworld.com.。
看更多作者Computerworld.com上的Gregg Keizer。
阅读有关恶意软件和漏洞的更多信息在Computerworld的恶意软件和漏洞主题中心。
这个故事,“Microsoft来修补零天内部的攻击零点”最初发布Computerworld. 。