Microsoft Patch mardi: Mise à jour critique pour IE

Microsoft a publié le dernier correctif de mardi 2009. Microsoft a publié six nouveaux bulletins de sécurité, le plus urgent concernant une faille de zéro jour dans Internet Explorer pour laquelle un code d'exploitation existe déjà. > À moins de problèmes de sécurité urgents ou d'exploits en circulation pour forcer une mise à jour hors bande, le nombre total de bulletins de sécurité pour 2009 est de 74 - soit une baisse de 5% par rapport aux 78 bulletins de sécurité publiés en 2008.

Deal with MS09-072 First

[Plus d'informations: Nos meilleures astuces, trucs et astuces Windows 10]

Les experts sont unanimes sur le fait que le bulletin de sécurité MS09-072, qui inclut la mise à jour de sécurité cumulative pour Internet Explorer, est de loin le correctif le plus urgent publié par Microsoft aujourd'hui.

Andrew Storms, directeur des opérations de sécurité pour nCircle, a déclaré dans un courriel: «Topping les nouvelles d'aujourd'hui de Microsoft est la solution pour un bogue critique de zéro jour dans Internet Explorer. La vulnérabilité est devenue un problème de sécurité majeur pour les utilisateurs lorsque le code d'exploitation est devenu disponible publiquement. Reconnaissant la nature critique du problème, Microsoft a fait du correctif une priorité absolue et l'a livrée dans environ deux semaines. "

Un autre expert en sécurité de nCircle, Tyler Reguly, ingénieur de sécurité senior, a déclaré: soit MS09-072, le correctif IE, car il inclut un correctif pour la vulnérabilité IE 0-day actuelle. Patching IE est toujours crucial, mais compte tenu de l'exploit public, cela devrait être corrigé le plus rapidement possible.

J'ai parlé avec Amol Sarwate, directeur du Qualys Vulnerabilities Research Lab, qui résume le problème. La vulnérabilité a été rendue publique il y a trois semaines, et les attaquants ont eu trois semaines pour travailler avec la preuve de concept et développer un exploit exploitable.Si vous ne pouvez faire qu'un seul patch, faites-le. "

Reguly a déclaré que MS09 -072 Le reste des bulletins de sécurité d'aujourd'hui sont une sorte de mash-up aléatoire de correctifs. Ils impliquent la plupart de l'alphabet et un certain nombre d'acronymes, affectant LSASS, ADFS, et IAS pour les débutants.

Dans le grand schéma des choses, cependant, il n'y a rien de très urgent une fois que vous corrigez Internet Explorer. Reguly recommande aux entreprises de prendre le temps de tester correctement les patchs restants avant de les déployer

Internet Explorer Fail

Vous ne l'avez peut-être pas remarqué, mais "Cumulative Update pour Internet Explorer" est un élément permanent de la liste mensuelle des bulletins de sécurité. de Microsoft, et autant que je me souvienne, il est toujours classé comme critique. Comme de plus en plus d'applications et de services sont exécutés directement depuis le cloud, le navigateur Web deviendra encore plus un talon d'Achille de sécurité.

J'ai discuté avec Wolfgang Kandek, chef de la technologie de Qualys, qui note qu'un pourcentage significatif de clients Qualys Explorateur 6. Il a suggéré que la plupart des faiblesses rencontrées pourraient être éliminées en adoptant simplement Internet Explorer 8.

nCircle's Storms souligne, cependant, que "les pratiques de développement de code sécurisé de Microsoft vont être réexaminées parce que l'IE d'aujourd'hui La mise à jour inclut des correctifs pour deux exploits non publics qui n'affectent que IE8, le navigateur le plus récent de Microsoft. "

Storms 'élaborée" Microsoft ne peut éviter la spéculation selon laquelle ces bugs auraient dû être détectés lors du développement du logiciel. Le cycle d'assurance de la qualité, mais la réalité est que cela devait arriver: chaque produit a des bugs et plus de fonctionnalités signifie des surfaces d'attaque plus grandes. "

Ne faites pas glisser votre Kandek pense que Microsoft est résolument concentré sur Windows 7 et aimerait garder ses yeux - et ses développeurs - sur l'avenir, mais que la base massive des installations de Windows XP ne peut être ignorée. Autant que Microsoft pourrait vouloir abandonner la prise en charge du système d'exploitation hérité, Windows XP sera toujours disponible pendant un certain temps.

Il vaut la peine de noter que Windows 7 n'a été directement affecté par aucun des 12 bulletins de sécurité qui ont été publiés depuis qu'il a frappé la rue. Windows 7 est affecté périphériquement par les problèmes d'Internet Explorer abordés dans MS09-072, et il y a l'exploration en cours sur ce qui cause le mystérieux écran noir de la mort, mais pas de défauts confirmés de Windows 7 pour l'instant.

Internet Explorer 6 est comme le fromage suisse par rapport à IE8 du point de vue de la sécurité. C'est aussi un cauchemar pour les administrateurs Web et les utilisateurs qui essaient de faire des choses comme afficher des pages Web. Le récent rapport Microsoft Security Intelligence a montré que Windows XP est 75% plus susceptible d'être compromis que Windows 7.

Aussi faibles que ces deux produits sont comparés à leurs équivalents plus modernes, de nombreuses organisations comptent encore sur eux. Ces organisations doivent se pencher à nouveau sur Windows 7 et Internet Explorer 8 et sur les économies potentielles en termes de support.

Utiliser Windows XP et Internet Explorer 6 et se plaindre de la sécurité des produits Microsoft, c'est comme faire rouler une voiture

Tony Bradley tweete comme

@PCSecurityNews, et peut être contacté sur sa page Facebook.