Havi frissítések érkeznek az Internet Explorerhez
A jövőben havonta javítja az Internet Explorer biztonsági hibáit a Microsoft a korábbi, kéthavi ciklus helyett. Az összes támogatott Windows és Office kapott egyébként biztonsági frissítést, a digitális tanúsítványok kezelése pedig sokkal dinamikusabbá válik.
A Microsoft 16 sebezhetőséget javított összesen kilenc frissítéssel a júliusi patch-kedd alkalmából, ezekből hármat jelölt a legnagyobb fontossági fokozatúnak, kritikusnak a szoftverház. A frissítést kapó termékek között szerepel a Windows összes támogatott verziója, az Office 2003-2007-2010 és az Office for Mac 2011 is, és Internet Explorer legújabb, 9-es változata is.
Kritikus frissítések
A várakozásoknak megfelelően a Microsoft javította az XML Core Services (MSXML) hibáját az MS12-043-as frissítéssel. A mintegy egy hónapja ismert és támadásokhoz aktívan ki is használt hibát most javította a Microsoft az MSXML 3-as, 4-es és 6-os verziójában. Az Office 2003 és Office 2007 által használt MSXML 5 hasonló sérülékenységének javítását még nem adta ki a Microsoft, mert a folt tesztelése még nem fejeződött be, e verzió ellen pedig egyelőre nem tapasztaltak támadást. A Microsoft mindenesetre kiadott egy ideiglenes megoldást, amely a lehetséges támadási vektort lezárja.
A másik fontos frissítés az MS12-044-es kódú, két foltból álló javítás az Internet Explorer 9-hez. A javítás két távolról kihasználható sérülékenységet javít a böngészőben. "A hiba hatását a modern Windows-változatokban elérhető Védett Mód enyhíti, de azért frissítsetek mihamarabb" - tanácsolja a Buhera Blog. A javítás kiadása azonban más szempontból is fontos: a Microsoft közlése szerint megerősítették a böngészővel foglalkozó biztonsági csapatot, így az eddig szokásos kéthavi frissítések helyett ezután havonta javítják a támogatott Internet Explorer-verziókat.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A harmadik kritikus frissítése a MDAC (Microsoft Data Access Components) sérülékenységét javítja - ezt a szoftvert legutoljára 2011 augusztusában javította a gyártó. A javítás egy ActiveX-en és Internet Exploreren keresztül kihasználható, távoli kódfuttatást eredményező sebezhetőséget javít, így a Server Core telepítéseken kívül minden Windows érintett benne.
Tanúsítvány-kezelések változása
A biztonsági frissítéseken kívül a Microsoft bejelentette a nyilvános kulcsú biztonsági rendszereket megerősítő megoldását is. Augusztustól telepíthető lesz egy frissítés, ami minden 1024 bitesnél rövidebb RSA kulcsot megbízhatatlannak jelöl. Továbbá a szoftverház visszavonultatott 28 saját tanúsítványt, amelyek nem feleltek meg a saját belső biztonsági követelményeknek. A Microsoft tudomása szerint ezeket nem sikerült kompromittálni, de a proaktív hozzáállás jegyében ezeket kivonják. A lépések közé belefért a megbízható tanúsítványok listáját dinamikusan frissítő eszköz kiadása is, amely a Windows Update ciklusától függetlenül, naponta frissíti a listát.