微软今天出货,在Windows和Office补丁的四个漏洞带来的三个安全更新,但并没有领先于黑客的Pwn2Own大赛开头周三的修补IE浏览器。
微软今天出货,在Windows和Office补丁的四个漏洞带来的三个安全更新。
而且,正如预期的,微软没有发布的Internet Explorer(IE)的补丁,以加强幸存的Pwn2Own中,黑客竞赛是明天开始的浏览器的机会。
即使是一家名为今天的补丁星期二轻松过关,为客户。“这是一个轻一个月,”与微软安全响应中心(MSRC),队负责调查,修补和补丁发布一组经理杰里·布赖恩特说。
微软已经陷入在奇数月出货较少补丁的做法。今年一月,例如,它修补只是三个漏洞,而上个月固定22层的缺陷。
只有三个更新之一 - 微软称他们为“公告” - 被评为“危急”,该公司的顶级威胁排名。另外两个分别标有“重要”的第二个最可怕的警告。
该MS11-015公告是一个关键更新。
“这是一个我们最担心的,”沃尔夫冈Kandek,Qualys的首席技术官。
更新补丁对漏洞,其中包括一个在Windows几乎所有版本中发现的Windows媒体中心和Windows Media Player组件。该漏洞所在的数字录像(DVR-MS)文件,这是由流缓冲区引擎(SBE)创建和存储的“名为.dvr-MS”文件扩展名。
“这是一个浏览和自身的脆弱性,”科比说,在谈论的那种错误的攻击者可通过诱使用户访问恶意网站利用简单。
“这是一个驱动器的错误,”遥相呼应安德鲁风暴,nCircle公司在安全保障运营总监。“有两种利用方法,首先在一个IFRAME,这将是一个典型的驱动器通过,另一种是作为电子邮件附件,它出现,用户将必须真正开放,不只是预览[在其电子邮件-mail客户端]“。
Windows的所有客户端版本,包括Windows XP,Vista和Windows 7,直到补丁是脆弱的。唯一的例外:Windows XP家庭版,它不支持的有缺陷的编解码器,张韶涵冈恩,与MSRC的高级通信响应经理说。
在MS11-015第二个漏洞,并且两个人在打补丁MS11-016和MS11-017,被分类为“DLL加载劫持”的缺陷,有时被称为“二进制种植”错误。
研究人员在Windows中,微软的软件和去年八月广泛的第三方Windows应用程序首次透露显著DLL加载劫持问题。微软开始修补DLL加载去年十一月在自己的节目劫持漏洞。
去年十二月,科比说,微软认为它已经结束了其对DLL加载劫持的工作。但在一月和二月,该公司发布了该问题的其他修复。
“这是一种对我们正在进行的调查的,”科比今天说。“[尽管]我们认为,我们已经发现了IE的所有的人,我们仍然可以通过我们的产品基地的休息去。”
Kandek和风暴都表示,这是微软可能会继续推出DLL加载劫持修复一段时间。“这将继续在未来几年,不仅来自微软,但也从第三方供应商,” Kandek说。
即使报警是在八月提高,微软冲出工具以阻止潜在的攻击,黑客已经不使用的手法是妥协的Windows电脑,或者如果他们有,这些努力都未被发现。
风暴并不感到惊讶。
“这是非常难以利用,”他说。“去年,这是‘噢,我的天哪,’但它原来是不那么容易利用这些,因为它需要用户浏览到该恶意位置,并打开该文件,并到厂[恶意] DLL攻击者和一个坏的文件,这是相当多的步骤。”
HD·摩尔,在Rapid7首席安全官和流行的Metasploit开源黑客工具的创造者,今天提醒企业,他们可以使攻击者难以通过在所有Windows禁用WebDAV客户服务利用任何DLL加载劫持漏洞PC和阻断出站端口139和445。
穆尔是第一个揭示了新的类加载DLL劫持漏洞去年之一。
微软的黑客的Pwn2Own挑战前未打补丁的IE揭开序幕周三,但是。
的Pwn2Own,这坑安全研究人员对四名浏览器包括IE,苹果Safari,谷歌Chrome和Mozilla的Firefox,运行3月9-11日在温哥华,不列颠哥伦比亚省,在安全的CanSecWest会议。第一研究者采取了IE,Safari或Firefox将获得$ 15,000个奖,而$ 20,000点岌岌可危Chrome浏览器。
今天,科比说,这是不值得扰乱客户的补丁时间表有一个意想不到的安全更新,以提高生存的的Pwn2Own IE的机会。
“我们不明白了一个道理,扰乱客户只是为了比赛,”科比说。“走出去带外是一个潜在的破坏,除非中的漏洞[]正在被攻击,我们不这样做。”
微软对下降的Pwn2Own修补IE之前是不是一个惊喜:公司目前提供在偶数月IE更新和修补去年2月8日的浏览器。
在任何情况下,科比补充说,有没有在利用的Pwn2Own任何漏洞逃逸到野外的危险。“错误的Pwn2Own据报道,以协调的方式供应商,”科比说。
HP TippingPoint的,它的零日倡议(ZDI)错误赏金计划赞助商和的Pwn2Own支付了绝大部分的现金奖励,购权在比赛利用的漏洞,然后把他们交给供应商。ZDI为开发人员提供六个月修补它买它公开发布信息之前的任何错误。
谷歌和Mozilla的最近修补他们的浏览器 - 谷歌今天的表现再次早些时候 - 和预计苹果Safari浏览器更新开始的Pwn2Own之前。
微软的安全更新可,以及通过Windows服务器更新服务(WSUS)下载并通过Microsoft Update和Windows Update服务安装。
格雷格·凯泽涵盖微软,安全问题,苹果,Web浏览器和通用技术重大新闻的计算机世界。按照格雷格在Twitter上@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
了解更多关于安全在计算机世界的安全主题中心。
这个故事,“微软补丁关键的Windows驱动的错误”最初发表计算机世界 。