Attaque Zap Zero-Day IE avant qu'elle ne vous saccage

Je ressens une certaine nostalgie en écrivant cette colonne, car après avoir écrit Bugs & Fixes pendant huit ans et demi - 102 colonnes au total - il est temps pour moi de signer de. J'ai énormément apprécié écrire pour vous pendant toutes ces années, et je suis reconnaissant que PC World m'ait donné l'occasion de le faire.

J'ai toujours eu deux objectifs en tête: vous aider éliminez les menaces actuelles et fournissez des informations utiles sur le fonctionnement des failles de sécurité et des attaques sur celles-ci, afin de mieux vous préparer à faire face aux problèmes futurs. J'espère que j'ai rempli au moins l'esprit de ces objectifs. Maintenant, comme mon père de retour dans le Montana disait: "nuff dit."

Les insectes continuent à marcher, cependant, et ce mois ne fait pas exception. Commençons par Microsoft

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Malgré le fait que plus de bogues ont été corrigés - y compris 23 vulnérabilités critiques - que dans les cinq dernières années, l'entreprise a été prise au dépourvu par un bug inconnu dans toutes les versions d'Internet Explorer (y compris IE 8 Beta 2).

Ce bug a rapidement engendré une vague d'attaques en ligne, alors que les méchants frappaient le Web avant Microsoft

Le bug affecte une fonction clé connue sous le nom de "liaison de données" sur laquelle IE s'appuie pour traiter un langage Web appelé XML; le trou implique un échec à libérer la mémoire correctement quand il n'est plus nécessaire.

Un programme malveillant pourrait exploiter le bug en chargeant son propre code dans la mémoire en surplus afin de prendre le contrôle de votre PC. Si vous avez visité un site piégé ou cliqué sur un lien empoisonné dans un e-mail, même ne pas avoir défini vos niveaux de sécurité IE au maximum l'aurait arrêté.

Les développeurs de Microsoft se sont précipités pour corriger le trou, mais l'effort a pris une semaine; Pendant ce temps, les attaques se propagent. Ne vous méprenez pas: marteler une correction majeure en seulement huit jours n'est pas un mince exploit. Et Microsoft a reconnu que la menace était assez effrayante pour justifier la sortie du correctif "hors cycle", plutôt que d'attendre le prochain "Patch Tuesday".

Comme il fallait obtenir le correctif immédiatement, Microsoft n'a pas offrir le correctif IE comme une «mise à jour cumulative». C'est une indication de la dangerosité de l'équipe de sécurité de Microsoft pour ce bug.

Parce que les attaques se sont produites "dans la nature", Microsoft vous demande d'obtenir le correctif ASAP (si vous n'avez pas activé les mises à jour automatiques). MS08-078 page.

Autres Bogues Microsoft

Qu'en est-il des 23 autres bogues critiques? Je ne peux pas tous les couvrir ici, mais ce sont ceux qui semblent les plus importants:

Avant que les attaques du jour zéro, Microsoft a publié un correctif cumulatif pour IE qui corrige quatre trous critiques dans IE versions 5.01 (sur Windows 2000 SP4) via IE7 (sur Vista SP1). Plusieurs failles sont techniquement similaires au trou d'attaque zero-day.

Contrairement au correctif hors cycle de Microsoft, aucune des 23 vulnérabilités n'a encore été attaquée. Comme d'habitude, veillez à maintenir vos mises à jour à jour. Cliquez sur le bulletin de sécurité Microsoft MS08-073 pour plus d'informations et pour un lien vers les correctifs. Microsoft a également corrigé deux trous dans l'interface graphique de Windows, ce qui permet aux programmes d'afficher du texte et des graphiques au format Windows Metafile, un format de fichier généralement utilisé pour les dessins au trait, les illustrations et les présentations. Vous pensez peut-être que vous chargez une image alors qu'en réalité, vous avez déjà été compromis. Comme d'habitude, pour être attaqué, tout ce que vous avez à faire est de visiter un site Web malveillant ou de cliquer sur un lien dans un e -mail.

Si vous ne recevez pas les mises à jour automatiquement, consultez le bulletin de sécurité Microsoft MS08-071 pour plus d'informations et un lien vers le correctif.

Deux autres trous - cette fois dans Windows Search for Windows Vista- -pourrait entraîner une perte totale de contrôle de votre PC. Comme le bogue IE, l'un des trous de Search se laisse ouvrir lorsqu'il tente de libérer de la mémoire précédemment utilisée. Vista a une fonctionnalité appelée Windows Search qui indexe votre système pour fournir des résultats de recherche plus rapides et vous permettre de stocker les recherches pour les réutiliser plus tard. Le stratagème utilisé par l'un des bugs est de vous inciter à ouvrir et enregistrer un fichier de recherche truqué en suivant un lien errant dans un e-mail ou sur un site piégé. Tous les stick-in-the-muds qui utilisent encore Windows XP sont sûrs. Seuls les systèmes Vista (y compris SP1 et SP2 Beta) sont à risque. Obtenez plus d'informations à partir du bulletin de sécurité Microsoft MS08-075.

Comme on dit à la télé: Mais attendez, il y en a plus! Microsoft a également corrigé un grand nombre de bogues dans Office, notamment un bogue critique affectant Word 2007. Pour en savoir plus sur ces bogues et leurs correctifs, consultez la page récapitulative du Bulletin de sécurité Microsoft pour décembre 2008.

Killing Off Firefox 2

les dernières attaques zero-day ont incité certains experts à renouveler leur recommandation que les utilisateurs d'IE changent à Firefox. Bien que je ne sois pas en désaccord avec ce conseil, les pirates sont susceptibles de prêter plus d'attention à Firefox - et ainsi de trouver plus de trous - car il gagne des parts de marché contre IE.

Pour garder Firefox en sécurité, les gens Mozilla a assemblé une nouvelle mise à jour pour le navigateur qui corrige un lot de failles de sécurité, dont plusieurs critiques. Un bug réside dans la fonction de restauration de session du navigateur. D'autres pourraient permettre à un attaquant de profiter des failles du moteur JavaScript (un langage de programmation Web populaire) de Firefox pour permettre à un attaquant de prendre le contrôle de votre PC.

Cette version - Firefox 2.0.0.20 - sera la dernière mise à jour de sécurité pour Firefox 2 ligne, les fonctionnaires de Mozilla ont annoncé dans un billet de blog. Pourquoi? Il est logique de prendre en charge une base de code unique, c'est pourquoi Mozilla incite les utilisateurs à passer à Firefox 3 (actuellement à la version 3.0.5). Huit des nouveaux correctifs s'appliquent à la version 2 et à la version 3.

Si vous n'avez pas installé la mise à jour via la fonction de mise à jour automatique de Firefox, vous pouvez l'obtenir sur la page de téléchargement de Firefox de Mozilla. Depuis le navigateur, sélectionnez Aide, vérifiez les mises à jour.

C'est tout pour moi. J'espère vous revoir tous de temps en temps, plus loin sur les autoroutes de l'information.