Zap Zero-Day IE Attack Sebelum Ini Zaps You

Saya merasakan nostalgia ketika saya menulis kolom ini karena, setelah menulis Bug & Perbaikan selama delapan setengah tahun - total total 102 kolom - saatnya bagi saya untuk menandatangani mati. Saya sangat menikmati menulis untuk Anda selama bertahun-tahun, dan saya bersyukur bahwa PC World memberi saya kesempatan untuk melakukannya.

Saya selalu memiliki dua tujuan: membantu Anda menangkal ancaman saat ini, dan memberikan informasi yang berguna tentang bagaimana lubang keamanan dan serangan pada mereka bekerja, sehingga Anda akan lebih siap untuk menghadapi masalah masa depan. Saya berharap bahwa saya telah memenuhi setidaknya semangat dari tujuan tersebut. Sekarang, seperti yang pernah dikatakan ayah saya di Montana: "nuff said."

Namun, serangga-serangga itu terus berbaris, dan bulan ini tidak terkecuali. Mari kita mulai dengan Microsoft.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Meskipun baru-baru ini menambal lebih banyak bug - termasuk 23 kerentanan kritis - daripada yang pernah terjadi pada satu waktu lainnya dalam lima tahun terakhir, perusahaan menjadi buta oleh bug yang sebelumnya tidak diketahui hadir di semua versi Internet Explorer yang didukung (termasuk IE 8 Beta 2).

Bug itu dengan cepat menelurkan gelombang serangan zero-day online, saat orang jahat menyerang via Web sebelum Microsoft telah menemukan patch atau solusi untuk itu.

Bug mempengaruhi fungsi kunci yang dikenal sebagai "pengikatan data" yang bergantung pada IE dalam menangani bahasa Web yang disebut XML; lubang melibatkan kegagalan untuk membebaskan memori dengan benar ketika tidak lagi diperlukan.

Program jahat dapat mengeksploitasi bug dengan memuat kode sendiri ke dalam memori surplus untuk mengambil alih PC Anda. Jika Anda mengunjungi situs yang diretas atau mengklik tautan beracun dalam email, bahkan pengaturan tingkat keamanan IE Anda pun tidak akan menghentikannya.

Pengembang Microsoft bergegas memperbaiki untuk menyumbat lubang, tetapi butuh waktu seminggu; sementara serangan itu menyebar. Jangan salah paham: Menghaluskan koreksi besar hanya dalam waktu delapan hari bukanlah prestasi kecil. Dan Microsoft mengakui bahwa ancaman itu cukup menakutkan untuk membenarkan melepaskan patch "out-of-cycle", daripada menunggu "Patch Tuesday" berikutnya.

Karena diperlukan untuk mendapatkan patch out pronto, Microsoft tidak menawarkan perbaikan IE sebagai "pembaruan kumulatif." Itu adalah indikasi betapa berbahayanya tim keamanan Microsoft yang menganggap bug ini.

Karena serangan telah terjadi "di alam liar," Microsoft mendesak Anda untuk mendapatkan patch secepatnya (jika Anda tidak mengaktifkan pembaruan otomatis) dari Microsoft Security Bulletin Halaman MS08-078.

Lebih Banyak Bug Microsoft

Bagaimana dengan 23 bug kritis lainnya? Saya tidak bisa menutupi semuanya di sini, tetapi ini adalah yang tampaknya paling penting:

Sebelum serangan zero-day melanda, Microsoft merilis patch kumulatif untuk IE yang memperbaiki empat lubang kritis di IE versi 5.01 (pada Windows 2000 SP4) melalui IE7 (di Vista SP1). Beberapa kelemahan secara teknis mirip dengan lubang serangan zero-day.

Tidak seperti patch out-of-cycle Microsoft, tidak ada dari 23 kerentanan yang diserang. Seperti biasa, rajin memperbarui pembaruan Anda. Klik ke Microsoft Security Bulletin MS08-073 untuk info lebih lanjut dan untuk tautan ke tambalan. Microsoft juga menambal dua lubang di antarmuka perangkat grafis Windows, yang memungkinkan program untuk menampilkan teks dan grafik dalam format Windows Metafile, format file yang biasanya digunakan untuk seni baris, ilustrasi, dan presentasi. Anda mungkin berpikir Anda memuat gambar ketika, pada kenyataannya, Anda telah dikompromikan Seperti biasa, untuk diserang, semua yang perlu Anda lakukan adalah mengunjungi situs Web jahat atau klik tautan ke situs web tersebut. -mail.

Jika Anda belum mendapatkan pembaruan secara otomatis, lihat Buletin Keamanan Microsoft MS08-071 untuk info lebih lanjut dan tautan ke patch.

Dua lubang lagi - kali ini di Windows Search untuk Windows Vista- -bisa mengakibatkan hilangnya kendali penuh atas PC Anda. Seperti bug IE, salah satu lubang di Search akan terbuka ketika mencoba untuk membebaskan memori yang sebelumnya digunakan. Vista memiliki kemampuan yang disebut Windows Search yang mengindeks sistem Anda untuk memberikan hasil pencarian yang lebih cepat dan membiarkan Anda menyimpan pencarian untuk digunakan kembali nanti. Cara yang digunakan salah satu bug adalah untuk membujuk Anda untuk membuka dan menyimpan file pencarian yang dicurangi dengan mengikuti tautan yang salah dalam email atau di situs yang dipasangi ranjau. Semua stick-in-the-muds yang masih menggunakan Windows XP aman. Hanya sistem Vista (termasuk SP1 dan SP2 Beta) yang berisiko. Dapatkan informasi lebih lanjut dari Microsoft Security Bulletin MS08-075.

Seperti yang mereka katakan di TV: Tapi tunggu, masih ada lagi! Microsoft juga menambal banyak bug di Office, termasuk bug penting yang mempengaruhi Word 2007. Baca lebih lanjut tentang semua bug dan patchnya di halaman ringkasan Microsoft Security Bulletin untuk Desember 2008.

Membunuh Firefox 2

serangan zero-day terbaru telah mendorong beberapa pakar untuk memperbarui rekomendasi mereka bahwa pengguna IE berubah menjadi Firefox. Meskipun saya tidak setuju dengan saran itu, peretas cenderung lebih memperhatikan Firefox - dan dengan demikian menemukan lebih banyak lubang di dalamnya - karena ia memperoleh pangsa pasar melawan IE.

Untuk menjaga Firefox tetap aman, orang-orang di Mozilla telah mengumpulkan pembaruan baru untuk peramban yang menambal sejumlah lubang keamanan, beberapa di antaranya sangat penting. Satu bug tinggal di fitur pemulihan sesi browser. Orang lain bisa membiarkan penyerang memanfaatkan lubang di Firefox JavaScript (bahasa pemrograman Web populer) untuk membiarkan penyerang mengambil alih PC Anda.

Rilis ini - Firefox 2.0.0.20 - akan menjadi pembaruan keamanan terakhir untuk Firefox 2 baris, pejabat Mozilla mengumumkan di posting blog. Mengapa? Masuk akal untuk mendukung basis kode tunggal, sehingga Mozilla mendesak pengguna untuk pindah ke Firefox 3 (saat ini di versi 3.0.5). Delapan dari tambalan baru berlaku untuk versi 2 dan versi 3.

Jika Anda belum menginstal pembaruan melalui fitur pembaruan otomatis Firefox, Anda bisa mendapatkannya di halaman unduhan Firefox Mozilla. Dari browser, pilih Bantuan, Periksa Pembaruan.

Itu untuk saya. Saya berharap dapat melihat Anda lagi kapan-kapan, jauh di bawah informasi superhighway.