माइक्रोसॉफ्ट आईईए, सुरक्षा अद्यतन के बड़े महीनों में कार्यालय तय करता है

माइक्रोसॉफ्ट ने अपने सॉफ़्टवेयर मंगलवार को 1 9 महत्वपूर्ण कमजोरियों को ठीक करने के लिए पैच जारी किया, जिसमें इसके इंटरनेट एक्सप्लोरर ब्राउज़र में पांच दोष शामिल हैं, जो कि सुरक्षा विशेषज्ञ आईटी प्रशासक को तत्काल पैच करने की सलाह देते हैं।

कुल 11 सुरक्षा अगस्त के लिए जारी किए गए अद्यतन पैच मंगलवार का सबसे बड़ा दौर है माइक्रोसॉफ्ट ने पिछले फरवरी के बाद से जारी किया है और आईटी प्रशासक को अपनी कंपनियों की व्यवस्था को सुरक्षित करने के लिए बहुत कुछ करना चाहिए। सेंट पॉल, मिनेसोटा में एक पैच-प्रबंधन सॉफ्टवेयर प्रदाता शावलिक टेक्नोलॉजीज के लिए सुरक्षा डेटा टीम के नेता जेसन मिलर ने कहा, "लोगों को इस लोड में काफी व्यस्त होने जा रहे हैं।"

छह पैच, जो पाया जा सकता है माइक्रोसॉफ्ट की वेब साइट पर, महत्वपूर्ण के रूप में मूल्यांकन किया जाता है, जबकि पांच को महत्वपूर्ण माना जाता है।

[और पठन: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

मिलर और अन्य सुरक्षा विशेषज्ञों ने माइक्रोसॉफ्ट सुरक्षा बुलेटिन MS08-045, इंटरनेट एक्सप्लोरर के लिए संचयी सुरक्षा अद्यतन, अपडेट के इस महीने के बैच में सर्वोच्च प्राथमिकता के रूप में अद्यतन पांच निजी तौर पर भेद्यताओं की रिपोर्ट करता है और जो कि पहले से ही सार्वजनिक रूप से खुलासा किया गया है और जिसके लिए हमला कोड पहले से ही मौजूद है, जो इसे शून्य दिन का दोष बना देता है।

डॉन लेथाम, समाधान और रणनीति के लिए निदेशक Lumension सुरक्षा, तथ्य कि आईई कमजोरियों एचटीएमएल (हाइपरटेक्स्ट मार्कअप लैंग्वेज) को प्रभावित करती है, उन्हें बेहद महत्वपूर्ण तरीके से पैचिंग करने के लिए पर्याप्त कारण है, क्योंकि शोषण के अवसर इतने विशाल हैं "दुनिया में हर वेब साइट एचटीएमएल का उपयोग करता है," उन्होंने कहा। स्कॉट्सडेल, एरिज़ोना में स्थित लमनेशन, पैच-और भेद्यता-प्रबंधन सॉफ्टवेयर और सेवाएं प्रदान करता है

शावलिक के मिलर ने कहा कि आईई पैच और अन्य महत्वपूर्ण अपडेट मंगलवार को जारी किए गए हैं जो Microsoft Access के लिए स्नैपशॉट व्यूअर के लिए ActiveX नियंत्रण में एक भेद्यता को हल करता है - - एमएस08-041 - संबंधित हैं क्योंकि वे दोनों एक हमलावर को एक वेब साइट बनाने की इजाजत देते हैं जो इन कमजोरियों का लाभ उठाते हैं। उन्होंने दोनों को तत्काल स्थापना के लिए प्राथमिकताओं के रूप में सूचीबद्ध किया।

लेथाम ने स्नैपशॉट व्यूअर का भी आईटी प्रशासक के लिए उच्च प्राथमिकता के रूप में इस्तेमाल किया क्योंकि कई व्यवसाय बड़े पैमाने पर एक्सेस और स्नैपशॉट व्यूअर टूल का उपयोग करते हैं।

"आप लोगों को आश्वासन दिया जा सकता है कि दर्शक, भागीदारों, ग्राहकों के साथ जानकारी साझा करने के लिए और आंतरिक सुइट की लोकप्रियता को देखते हुए और कितना व्यवसाय पहुंच का उपयोग करते हैं, "उन्होंने कहा।

एक अद्यतन जो माइक्रोसॉफ्ट विंडोज इमेज कलर मैनेजमेंट सिस्टम में भेद्यता को हल करता है - एमएस08-046 - इसे तुरंत स्थापित किया जाना चाहिए क्योंकि यह एक वेब पेज पर नेविगेट करता है और एक विशेष ग्राफ़िक को देखता है, क्योंकि यह एक हमले की अनुमति दे सकता है, शोधकर्ताओं ने कहा। रंग प्रबंधन प्रणाली विंडोज के ग्राफिकल सबसिस्टम का हिस्सा है।

"यह देखते हुए कि [भेद्यता] वेब आधारित और ग्राफिकल है, आप निश्चित रूप से उस विशेष पर कुछ विशेष ध्यान देना चाहते हैं," लेथम् ने कहा।

आईटी पेशेवरों के लिए महत्वपूर्ण के रूप में मूल्यांकन किया गया दो अगस्त अपडेट भी ब्याज का होना चाहिए, भले ही माइक्रोसॉफ्ट उन्हें महत्वपूर्ण अपडेट से नीचे रेट कर दिया हो। वे एमएस08-047 हैं, जो आईपीएससी नीति प्रसंस्करण में एक भेद्यता को हल करता है, और एमएस08-50, जो मैसेन्जर में एक दोष को दबाता है।

हालांकि माइक्रोसॉफ्ट ऐसी खामियां नहीं मानती है जो सूचना के प्रकटीकरण को महत्वपूर्ण बताते हैं, आईपीएससी भेद्यता, जो जो लोग सोचते हैं कि खुले पाठ संचार में एन्क्रिप्टेड सूचना सुरंगों पर भरोसेमंद भरोसेमंद हो सकते हैं, महत्वपूर्ण कंपनियों के लिए महत्वपूर्ण डेटा स्थानांतरित करने के लिए IPsec का उपयोग करके कुछ कंपनियों के लिए इतनी तीव्र हो सकती है, जैसे कि स्वास्थ्य देखभाल संबंधी संस्थाएं जो गोपनीय रोगी की जानकारी के साथ काम करती हैं, Leatham ने कहा।

इसी तरह, माइक्रोसॉफ्ट ने मैसेंजर भेद्यता को महत्वपूर्ण नहीं बताया है क्योंकि यह केवल सूचना प्रकटीकरण से संबंधित है; क्वालीज में कमजोरियों के अनुसंधान प्रयोगशाला के प्रबंधक, अमोल सरवटे ने कहा, हालांकि, यह "सामाजिक-इंजीनियरिंग हमले के लिए अवसर को खोलता है जो हमने पहले नहीं देखा है" और इसे गंभीरता से लिया जाना चाहिए। रेडवुड शोर्स, कैलिफ़ोर्निया में आधारित क्वालीज़, भेद्यता-प्रबंधन और नीति-अनुपालन सेवाएं प्रदान करता है।

"यह हमलावरों को पीड़ितों का पर्दाफाश करके लोगों को ऑडियो या वीडियो कॉन्फ्रेंसिंग के लिए आमंत्रित करने की अनुमति देता है," उन्होंने कहा, यह भी शून्य दिन की भेद्यता है।

पिछले गुरुवार को माइक्रोसॉफ्ट ने कहा था कि वह मंगलवार को 12 सुरक्षा अपडेट जारी करेगा सुरक्षा शोधकर्ताओं द्वारा पैच मंगलवार नामक अपने मासिक पैच चक्र की, लेकिन अंतिम क्षण में गुणवत्ता के मुद्दों के कारण उन अपडेटों में से एक को खींच लिया। कंपनी ने कहा।

माइक्रोसॉफ्ट ने और जानकारी प्रदान नहीं की,; हालांकि, जब अपडेट आखिरी मिनट में खींच दिए गए हैं, तो वे आम तौर पर अगले महीने के पैच चक्र के भाग के रूप में रिलीज़ हो जाते हैं।

इस महीने मामलों को भी जटिल बनाकर एक हालिया सुरक्षा सलाहकार और पैच माइक्रोसॉफ्ट उपकरण के लिए भेजा जाता है जो कई कंपनियों का इस्तेमाल होता है माइक्रोसॉफ्ट अनुप्रयोगों को पैच करने के लिए, विंडोज सर्वर अपडेट सर्विसेज, लेथम् ने कहा। उन्होंने सलाह दी कि कंपनियों को यह सुनिश्चित करना होगा कि वे टूल को अपडेट करें और सत्यापित करें कि यह अगस्त के पैच को स्थापित करने से पहले ठीक से काम कर रहा है।

"कुछ सुरक्षा पैच संगठनों के क्षेत्रों में तैनात नहीं होने के कारण एक अजीब बग था" "आप सुनिश्चित कराना चाहते हैं कि आपके WSUS सर्वर को पैच किया गया है" अद्यतनों के दूसरे चरण को स्थापित करने से पहले।