Zap Zero-Day IE Attacke, bevor Sie zappt

Ich fühle etwas Nostalgie, als ich diese Kolumne schreibe, weil ich nach dem Schreiben

Die Käfer laufen jedoch weiter, und dieser Monat ist keine Ausnahme. Beginnen wir mit Microsoft.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Obwohl Sie vor Kurzem weitere Fehler - darunter 23 kritische Sicherheitslücken - gepatched haben, als zu jedem anderen Zeitpunkt in den letzten fünf Jahren, Die Firma wurde von einem bisher unbekannten Bug in allen unterstützten Versionen des Internet Explorers (einschließlich IE 8 Beta 2) übertölpelt.

Dieser Bug führte schnell zu einer Welle von Zero-Day-Attacken im Internet, als Bösewichte vor Microsoft über das Internet schlugen hatte einen Patch oder eine Problemumgehung dafür entwickelt.

Der Fehler betrifft eine Schlüsselfunktion, die als "Datenbindung" bekannt ist und auf die IE bei der Behandlung einer Websprache mit dem Namen XML angewiesen ist; Das Problem besteht darin, dass Speicher nicht ordnungsgemäß freigegeben wird, wenn er nicht mehr benötigt wird.

Ein schädliches Programm könnte den Fehler ausnutzen, indem es seinen eigenen Code in den überschüssigen Speicher lädt, um Ihren PC zu übernehmen. Wenn Sie eine Seite mit Sprengfallen besucht oder einen vergifteten Link in einer E-Mail angeklickt haben, wäre die Einstellung der IE-Sicherheitsstufe nicht auf Maximum eingestellt.

Die Entwickler von Microsoft haben einen Fix ausgeführt, um die Lücke zu schließen Anstrengung dauerte eine Woche; Inzwischen verbreiten sich die Angriffe. Verstehen Sie mich nicht falsch: Eine große Korrektur in nur acht Tagen zu hämmern ist keine kleine Leistung. Und Microsoft erkannte, dass die Bedrohung beängstigend genug war, um den Patch "out-of-cycle" zu veröffentlichen, anstatt auf den nächsten "Patch Tuesday" zu warten.

Da Microsoft den Patch sofort herausholen musste, tat Microsoft das nicht bieten Sie das IE-Update als "kumulatives Update" an. Dies ist ein Hinweis darauf, wie gefährlich das Microsoft-Sicherheitsteam diesen Fehler betrachtet hat.

Da Angriffe "in freier Wildbahn" aufgetreten sind, fordert Microsoft Sie dringend auf, den Patch so schnell wie möglich aus dem Microsoft Security Bulletin zu holen MS08-078 Seite.

Weitere Microsoft Bugs

Was ist mit den anderen 23 kritischen Bugs? Ich kann hier nicht alle behandeln, aber diese scheinen am wichtigsten zu sein:

Bevor die Zero-Day-Angriffe ausgelöst wurden, hat Microsoft einen kumulativen Patch für IE veröffentlicht, der vier kritische Lücken in IE-Versionen 5.01 (unter Windows 2000) behebt SP4) über IE7 (unter Vista SP1). Einige der Schwächen ähneln technisch dem Zero-Day-Angriffsloch.

Im Gegensatz zu Microsofts außer Kontrolle geratenem Patch wurde bisher keine der 23 Schwachstellen angegriffen. Wie immer sollten Sie sorgfältig darauf achten, Ihre Aktualisierungen auf dem neuesten Stand zu halten. Klicken Sie auf Microsoft Security Bulletin MS08-073, um weitere Informationen und einen Link zu den Patches zu erhalten. Microsoft hat auch zwei Löcher in die Windows-Grafikgeräte-Schnittstelle gepatcht, mit der Programme Text und Grafiken im Windows Metafile-Format anzeigen können, einem Dateiformat, das normalerweise für Strichzeichnungen, Illustrationen und Präsentationen verwendet wird. Sie könnten denken, dass Sie ein Bild laden, obwohl Sie in Wirklichkeit bereits kompromittiert wurden. Wie immer, um angegriffen zu werden, müssen Sie nur eine bösartige Website besuchen oder auf einen Link in einem e klicken -mail.

Wenn Sie die Updates nicht automatisch erhalten, finden Sie weitere Informationen im Microsoft Security Bulletin MS08-071 und einen Link zum Patch.

Zwei weitere Lücken - diesmal in Windows Search for Windows Vista- -könnte zu einem vollständigen Verlust der Kontrolle über Ihren PC führen. Wie der IE-Bug lässt sich eines der Löcher in der Suche offen, wenn es versucht, zuvor verwendeten Speicher freizugeben. Vista verfügt über eine Funktion namens Windows Search, die Ihr System indiziert, um schnellere Suchergebnisse bereitzustellen und die Suche später für die Wiederverwendung speichern zu können. Der Trick, den einer der Fehler verwendet, ist, Sie dazu zu bringen, eine manipulierte Suchdatei zu öffnen und zu speichern, indem Sie einem fehlerhaften Link in einer E-Mail oder auf einer Sprengfallen-Site folgen. Alle Stick-in-the-Muds, die immer noch Windows XP verwenden, sind sicher. Nur Vista-Systeme (einschließlich SP1 und SP2 Beta) sind gefährdet. Weitere Informationen erhalten Sie im Microsoft Security Bulletin MS08-075.

Wie sie im Fernsehen sagen: Aber warte, es gibt mehr! Microsoft hat auch einige Bugs in Office gepatcht, darunter einen kritischen Bug, der Word 2007 betrifft. Lesen Sie mehr über all diese Fehler und ihre Patches auf der Microsoft Security Bulletin-Übersichtsseite für Dezember 2008.

Killing Off Firefox 2

Der Die neuesten Zero-Day-Angriffe haben einige Experten dazu veranlasst, ihre Empfehlung zu erneuern, IE-Benutzer zu Firefox zu wechseln. Während ich diesem Rat nicht widerspreche, werden Hacker wahrscheinlich mehr Aufmerksamkeit auf Firefox richten - und damit mehr Löcher darin finden -, da es Marktanteile gegen IE gewinnt.

Um Firefox sicher zu halten, sind die Leute bei Mozilla hat ein neues Update für den Browser erstellt, das eine Reihe von Sicherheitslücken, von denen einige kritisch sind, patcht. Ein Fehler befindet sich in der Sitzungswiederherstellungsfunktion des Browsers. Andere könnten einen Angreifer Löcher in der JavaScript-Engine von Firefox (einer populären Web-Programmiersprache) ausnutzen lassen, damit ein Angreifer Ihren PC übernehmen kann.

Diese Version - Firefox 2.0.0.20 - wird das letzte Sicherheitsupdate für die Firefox 2-Zeile, Mozilla-Beamte angekündigt, in einem Blog-Post. Warum? Es macht Sinn, eine einzelne Codebasis zu unterstützen, daher fordert Mozilla die Benutzer auf, zu Firefox 3 zu wechseln (derzeit Version 3.0.5). Acht der neuen Patches gelten für Version 2 und Version 3.

Wenn Sie das Update nicht bereits über die automatische Update-Funktion von Firefox installiert haben, können Sie es auf Mozillas Firefox-Download-Seite herunterladen. Wählen Sie im Browser

Hilfe, Nach Updates suchen. Das wars für mich. Ich hoffe, Sie alle irgendwann wiederzusehen, weiter unten auf der Datenautobahn.