Microsoft mempercepat rilis patch Explorer 8

Hanya 11 hari setelah mengeluarkan penasehat, Microsoft telah merilis patch untuk bug di Internet Explorer 8 yang membingungkan Departemen Tenaga Kerja AS awal bulan ini.

Pelepasan cepat Microsoft dari patch ini " adalah contoh luar biasa dari respons Microsoft terhadap komunitas keamanan dan pengguna mereka, ”tulis Andrew Storms, direktur keamanan operasi untuk penyedia perangkat lunak keamanan Tripwire, dalam sebuah pernyataan email.

Buletin keamanan IE8 ini (MS13-038) adalah salah satu dari 10 yang dirilis Microsoft Selasa sebagai bagian dari rilis "Patch Tuesday" dari perbaikan bug dan buletin keamanan bahwa perusahaan secara rutin menerbitkan pada hari Selasa kedua setiap bulan.

[Bacaan lebih lanjut: Bagaimana cara menghapus malwar e dari PC Windows Anda]

Microsoft menandai MS13-038 sebagai penting dan perusahaan, bersama dengan perusahaan keamanan lainnya, menyarankan mereka yang masih menjalankan IE8 untuk segera menerapkan perbaikan. Menggunakan halaman Web Departemen Tenaga Kerja yang telah berubah, penyerang menggunakan kerentanan ini dalam upaya untuk memasang kode berbahaya pada mesin pengunjung yang menjalankan IE8. Microsoft mengeluarkan perbaikan sementara untuk kerentanan ini minggu lalu.

Buletin kritis lainnya, MS13-037, juga mempengaruhi Internet Explorer. Pembaruan ini menyelesaikan 11 masalah yang akan memudahkan menyuntikkan kode berbahaya ke peramban dari halaman Web yang dibuat khusus, yang memungkinkan pengguna untuk mengendalikan komputer. Pembaruan ini mencakup kerentanan PWN2Own, yang digali awal tahun ini.

Mereka yang menjalankan Windows Server 2012 harus segera melihat MS MS13-039. Pembaruan ini memperbaiki kerentanan di Microsoft Web IIS (Layanan Informasi Internet) yang dapat digunakan dalam serangan Denial of Service (DoS), melalui penggunaan paket HTTP. Karena itu akan relatif mudah untuk membuat serangan menggunakan kerentanan ini, organisasi harus menerapkan pembaruan ini sesegera mungkin, karena eksploitasi berdasarkan kerentanan ini mungkin mulai muncul hanya dalam beberapa minggu, menurut Tripwire.

Ross Barrett, manajer senior teknik keamanan di firma keamanan Rapid7, menulis dalam sebuah pernyataan bahwa "sementara serangan DoS umumnya dianggap tingkat kedua (atau ketiga) sejauh risiko, ini berpotensi sangat mengganggu organisasi, karena banyak layanan jarak jauh dan Integrasi Active Directory bergantung pada http.sys, "yang merupakan subsistem jaringan yang digunakan oleh IIS.

A" mengeksploitasi bug ini dengan sukses dapat memiliki implikasi serius untuk server Web publik tanpa semacam inline [sistem pencegahan intrusi] di depan mereka. Pada dasarnya, setiap pengguna dapat meluncurkan serangan sederhana dan server pada dasarnya akan offline, ”kata Storms. Dia juga mencatat bahwa setiap salinan Microsoft Server 2012-bukan hanya yang berfungsi sebagai server Web-bisa menjalankan IIS, seperti server untuk Microsoft Exchange atau SharePoint.

Tujuh buletin yang tersisa - tidak ada yang kritis tetapi semua dianggap penting-alamat bug di Microsoft Lync, Publisher, Word, Visio, Windows Essentials,.Net, dan kernel Windows.