Week 8, continued
Společnost Microsoft potvrdila v pondělí další zranitelnost za nulovou denní hodnotu v sadě softwarových komponent, které jsou dodávány v široké škále produktů společnosti.
Tato chyba se nachází v Office Web Components společnosti Microsoft, které se používají k publikování tabulek, grafy a databáze na webu, mimo jiné funkce. Společnost pracuje na opravě, ale neuvedla, kdy bude vydána, podle poradce.
"Konkrétně existuje chyba zabezpečení v ovládacím prvku Spreadsheet ActiveX a když jsme viděli pouze omezené útoky, pokud byly úspěšně zneužívány, Útočník by mohl získat stejná uživatelská práva jako místní uživatelé, "napsal Dave Forstrom, manažer skupiny, který je součástí centra zabezpečení společnosti Microsoft, v příspěvku na blogu.
[Další informace: Jak odstranit malware z počítače se systémem Windows]Ovládací prvek ActiveX je malý doplňkový program, který funguje ve webovém prohlížeči a usnadňuje funkce, jako jsou stahování programů nebo aktualizace zabezpečení. V průběhu let však byly kontroly náchylné k zranitelnosti.
Nová vada přichází jen den předtím, než bude společnost uvolněna své měsíční záplaty, včetně jedné pro další zranitelnost v nulové denní lhůtě, která byla odhalena počátkem tohoto měsíce. Tento problém spočívá v ovládacím prvku Video ActiveX v aplikaci Internet Explorer a v současné době ho hackeři používají při pokusu o stahování.
V případě obzvláště nebezpečných zranitelných míst se společnost Microsoft odchýlila od plánu opravy a vydala jeden mimo cyklus.
Microsoft uvedl, že vada by mohla dovolit útočníkovi provést kód vzdáleně na počítači, pokud někdo, kdo používá Internet Explorer, navštíví škodlivý web, hackingovou techniku známou jako download. Webové stránky, které obsahují obsah nebo reklamy poskytované uživatelem, mohou být zmanipulovány, aby využily tuto zranitelnost.
"Ve všech případech však útočník nebude mít žádnou možnost donutit uživatele k návštěvě těchto webových stránek," uvedl poradce. "Místo toho by útočník musel přesvědčit uživatele, aby navštívili webový server, obvykle tím, že je nalepí na odkaz v e-mailové zprávě nebo v aplikaci Instant Messenger, která přenáší uživatele na webový server útočníka."
Společnost Microsoft vydala seznam napadeného softwaru, který zahrnuje Office XP Service Pack 3, 2003 Service Pack 3, několik verzí serveru Internet Security a Acceleration Server a Office Small Business Accounting 2006.
Až do dokončení opravy Microsoft uvedl jednu možnost správci je zakázat spuštění aplikace Office Web Components v aplikaci Internet Explorer a poskytuje pokyny
Zabezpečení, zabezpečení a zabezpečení
Bezpečnostní zprávy dominovaly tento týden a to bude nepochybně i příští týden. ...
Společnost Apple v pátek uvedla, že reklamní hlídací pes proti její reklamě potvrzuje, že společnost splňuje vysoké environmentální standardy .
Apple v pátek prohlásil, že zvítězil v notebooku pro životní prostředí s Dell, který se dříve stěžoval, že Apple je zavádějící kupující voláním svých notebooků "nejzelenější rodiny notebooků na světě."
Výzkumní pracovníci vysvětlují chybu zabezpečení v číslech sociálního zabezpečení
Výzkumní pracovníci společnosti Carnegie Mellon University zjistili, jak odhadnout vaše číslo sociálního zabezpečení na základě vašeho data narození místo narození