CISO Summit: KW 24 2018 - Microsoft Patchday, #SpectreNG & Angriffe auf Energieversorger
Heute war Microsofts finaler Patch-Dienstag von 2009. Microsoft veröffentlichte insgesamt sechs neue Sicherheitsbulletins, von denen das dringendste einen Zero-Day-Fehler im Internet Explorer darstellt, für den Exploit-Code bereits existiert.
Wenn keine dringenden Sicherheitsprobleme oder Exploits in Umlauf sind, um eine Out-of-Band-Aktualisierung zu erzwingen, beträgt die Gesamtzahl der Sicherheitsbulletins für das Jahr 2009 74 - ein Rückgang um 5 Prozent gegenüber den 78 Sicherheitsbulletins von 2008.Deal mit MS09-072 Erste
[Weitere Informationen: Unsere besten Windows 10-Tricks, Tipps und Verbesserungen]Experten sind sich einig, dass das Sicherheitsbulletin MS09-072, das das kumulative Sicherheitsupdate für den Internet Explorer enthält, weit verbreitet ist der dringendste von Microsoft heute veröffentlichte Patch.
Andrew Storms, Direktor für Sicherheitsoperationen bei nCircle, sagte in einer E-Mail: "Die Neuigkeiten von Microsoft zu aktualisieren ist die Lösung für einen kritischen Zero-Day-Bug in Internet Explorer. Die Sicherheitsanfälligkeit wurde zu einem wichtigen Sicherheitsrisiko für Benutzer, als Exploit-Code öffentlich verfügbar wurde. In Anbetracht der kritischen Natur des Problems hat Microsoft dem Fix höchste Priorität eingeräumt und ihn in ungefähr zwei Wochen geliefert. "
Ein anderer nCircle-Sicherheitsexperte, der leitende Sicherheitsingenieur Tyler Reguly, stimmte zu:" Die Nummer eins in der heutigen Hitliste MS09-072, der IE-Patch, da dieser einen Patch für die aktuelle IE 0-Day-Schwachstelle enthält. Das Patchen von IE ist immer entscheidend, aber angesichts des öffentlichen Exploits sollte dies so schnell wie möglich gepatcht werden.
Ich sprach mit Amol Sarwate, Manager von Qualys Vulnerabilities Research Lab, der es zusammengefasst hat: "MS09-072 ist definitiv der dringendste. Die Schwachstelle wurde vor drei Wochen veröffentlicht, Angreifer hatten drei Wochen Zeit, um mit dem Proof-of-Concept zu arbeiten und einen funktionsfähigen Exploit zu entwickeln. Wenn Sie nur einen Patch machen können, tun Sie das. "
Regulär gesagt, dass es über MS09 hinausgeht -072 Der Rest der heutigen Sicherheitsbulletins ist eine Art Zufalls-Mash-up von Fixes. Sie beinhalten einen Großteil des Alphabets und eine Reihe von Akronymen, die LSASS, ADFS und IAS für Anfänger betreffen.
Im großen Rahmen der Dinge gibt es jedoch nichts sehr Dringendes, sobald Sie den Internet Explorer patchten. Reguly empfiehlt Organisationen, sich die Zeit zu nehmen, die verbleibenden Patches vor der Bereitstellung ordnungsgemäß zu testen.
Internet Explorer Fail
Sie haben es vielleicht nicht bemerkt, aber "Kumulatives Update für Internet Explorer" ist ein fester Bestandteil der monatlichen Liste der Sicherheitsbulletins von Microsoft, und soweit ich mich erinnern kann, wird es immer als kritisch eingestuft. Da immer mehr Anwendungen und Dienste direkt aus der Cloud heraus laufen, wird der Web-Browser zu einer Sicherheits-Achillesferse.
Ich habe mit dem Chief Technology Officer von Qualys, Wolfgang Kandek, gesprochen, dass ein bedeutender Prozentsatz der Kunden von Qualys immer noch auf das Internet angewiesen ist Explorer 6. Er schlug vor, dass die meisten Schwachstellen beseitigt werden könnten, indem einfach Internet Explorer 8 übernommen wird.
nCircle's Storms weist jedoch darauf hin, dass "Microsofts Entwicklungspraktiken für sicheren Code aufgrund des heutigen IE erneut unter die Lupe genommen werden update enthält Korrekturen für zwei zuvor nicht-öffentliche Exploits, die nur IE8, den neuesten Browser von Microsoft, betreffen. "
Storms 'ausgearbeitet" Es gibt keine Möglichkeit für Microsoft, die Spekulationen zu vermeiden, dass diese Fehler während der Softwareentwicklung gefunden worden sein sollten Qualitätssicherungszyklus, aber die Realität ist, dass dies passieren musste. Jedes Produkt hat Fehler und mehr Funktionen bedeutet größere Angriffsflächen. "
Ziehen Sie nicht Ihre self Down
Kandek ist der Meinung, dass Microsoft fest auf Windows 7 fokussiert ist und seine Augen - und Entwickler - auf die Zukunft richten möchte, aber dass die massive Basis von Windows XP-Installationen nicht ignoriert werden kann. So sehr sich Microsoft von der Unterstützung des Legacy-Betriebssystems distanzieren mag, Windows XP wird es noch einige Zeit geben.
Es ist erwähnenswert, dass Windows 7 nicht direkt von einem der 12 Security Bulletins betroffen war, die seit seiner Veröffentlichung veröffentlicht wurden. Windows 7 ist peripherisch von den Internet Explorer-Problemen betroffen, die in MS09-072 behandelt werden, und es gibt die fortlaufende Erforschung dessen, was den mysteriösen schwarzen Bildschirm des Todes verursacht, aber keine bestätigten Windows 7-Fehler.
Insgesamt jedoch Internet Explorer 6 ist wie Schweizer Käse im Vergleich zu IE8 aus Sicherheitsgründen. Es ist auch ein Albtraum für Web-Administratoren und Benutzer, die Dinge wie das Anzeigen von Webseiten versuchen. Der kürzlich veröffentlichte Microsoft Security Intelligence-Bericht zeigte, dass Windows XP um 75 Prozent wahrscheinlicher kompromittiert wird als Windows 7.
So schwach diese beiden Produkte mit ihren moderneren Gegenstücken verglichen werden, viele Unternehmen verlassen sich immer noch auf sie. Diese Organisationen müssen sich Windows 7 und Internet Explorer 8 und die potenziellen Einsparungen bei der Unterstützung noch einmal ansehen.
Wenn Sie Windows XP und Internet Explorer 6 verwenden und sich dann über die Sicherheit von Microsoft-Produkten beschweren, ist das Fahren Ihres Fahrzeugs ein Kinderspiel Bootsanker und beschwert sich dann, dass Sie schlechte Benzinverbrauch bekommen.
Tony Bradley twittert als @PCSecurityNews, und kann auf seiner Facebook-Seite kontaktiert werden.
Patch Dienstag: Sicherheit der Fokus als Microsoft, Oracle Patch Bugs
Microsoft und Oracle veröffentlichen kritische Software-Patches.
Wurmrisiko Spurs Kritisches Microsoft-Patch
Plus: Blockiert die neuesten IE- und Excel-Angriffe und repariert die F-Secure-Sicherheit.
Microsoft verspricht sechs Updates für Final Patch Dienstag von 2009
Nächste Woche ist der letzte Patch-Dienstag für 2009. Hier ein kurzer Blick auf die sechs Sicherheitsbulletins von Microsoft erwartet.