Microsoft-patches kritische Fehler in Windows 8, Windows-RT

2013-12-30  |  Comebuy News

Microsoft gepatcht heute 19 Sicherheitslücken in Windows, Internet Explorer 9 (IE9), Excel und der .net Development Framework, darunter vier Mängel in der gerade veröffentlichten Windows 8 und seine Tablet-Spin-off-Windows-RT

Comebuy Verwandte Artikel: Microsoft-Schiefer erste Windows 8, RT-Patches da LaunchWindows & Office-Benutzer kritische PatchesMicrosoft 49 Schwachstellen in Sicherheitseinstellungen UpdateMicrosoft Taue beheben erhalten, .net VulnerabilityMicrosoft vorbereitet "kritisch" Office-patches

Am Dienstag sechs Sicherheits-Updates, vier wurden beschriftet "kritisch" Microsoft's die meisten schwerwiegende Bedrohung, ranking, während die verbleibenden beiden als "wichtig" oder "mäßig." gekoppelt waren Der 19 Sicherheitslücken gepatcht heute wurden sieben als kritisch markiert.

"Der IE9 [Bulletin] ist derjenige, der zuerst gepatcht werden sollte", sagte Andrew Stürme, Direktor der Sicherheitsmaßnahmen bei nCircle Sicherheit, in einem Interview heute. "Es ist ein Drive-by", fügte er, unter Bezugnahme auf die Taktik, die nur Hacker, Benutzer dazu zu durchsuchen, um eine schädliche Website erfordert.

Damit eine ungepatchte Kopie des IE9 kann eine erfolgreiche Entführung eines Windows 7 oder Vista PC führen. IE9 läuft nur auf diesen beiden Betriebssystemen.

Keine andere Versionen von Microsofts Browser, einschließlich der neuen IE10 waren von MS12-071 betroffen. IE10 ist mit Windows 8 und Windows RT gebündelt und heute als "Release Preview" für Windows 7 ausgeliefert.

Stürme setzen MS12-075 Zweitens auf heutigen to-do-Liste.

Das Update patches drei Sicherheitslücken in Windows-Kernel-Modus-Treiber, von denen kritische gekennzeichnet war. Letzteres war ein Fehler des Betriebssystems beim Verarbeiten von TrueType-Schriftarten, die nur von zielstrebig Angreifern ausgenutzt werden könnte, sagte Sturm.

"Trotz der Tatsache, dass es böse aussieht, es nicht sehr realistisch, funktionierende Exploits, zu erwarten ist", argumentierte Stürme, Inlett aus den vielen Anforderungen für einen erfolgreichen Angriff, einschließlich die Notwendigkeit, einen Proxyserver zu fälschen.

Microsoft bewertet den Fehler als "2" auf seinem Exploitability Index, des Unternehmens Bedrohung Schätzung, Stürme im wesentlichen zustimmen. "Exploit-Code schwer zu bauen wäre," sagte Microsoft TrueType-Bug.

Diese Schwachstelle wurde von Bug-Bounty-Programm von Google an Microsoft gemeldet. Ende September bezahlt Google ein paar Forscher $5.000 für die Ausrottung der Anfälligkeit, Teil einer $29.500 Zahltag für neun verschiedene Forscher.

Windows 8 und Windows RT hegte vier der 19 Fehler, drei von ihnen kritisch und der vierte Platz wichtig.

Die zwei kritische Fehler in MS12-072 wurden für Windows 8 und seine Nachkommen gekoppelt, da war der TrueType-Schriftart-Bug in MS12-075 und eine der Sicherheitslücken in MS12-074, dem .net Framework-alle Versionen gepatcht.

"Ich bin sicher, dass Microsoft für Windows 8 Ende Oktober veröffentlicht haben und haben bereits ausgegeben Patches, enttäuscht ist", sagte Stürme. "Aber ehrlich gesagt, eine Menge Code wiederverwendet, und es sollte nicht überraschend zu Fehlerbehebungen in Windows 8 zu sehen sein. Trotz all dem Hype neuere Plattformen wird die höchste Sicherheit Fehler gefunden werden, und Fehler werden behoben werden."

November sechs Sicherheits-Updates können heruntergeladen und installiert über die Microsoft Update und Windows Update Services sowie über WSUS werden.

Gregg Keizer umfasst Microsoft, Sicherheitsfragen, Apple, Web-Browser und allgemeine Technik Eilmeldung für Computerworld. Folgen Sie Gregg auf, am

Finden Sie mehr von Gregg Keizer Computerworld.

Lesen Sie mehr über Malware und Schwachstellen in Computerworlds Malware und Schwachstellen Topic Center.

« Back