วันอังคารเปิดช่องโหว่ Zero-day ที่ร้ายแรงเปิดอีก

ไมโครซอฟท์ได้กำหนดข้อบกพร่องที่ร้ายแรงภายใต้การโจมตีในตัวควบคุม ActiveX แบบวิดีโอพร้อมด้วยข้อบกพร่องที่สำคัญอื่น ๆ ที่เกี่ยวกับไฟล์ QuickTime และแบบอักษร แต่ยังคงมีช่องโหว่ที่สำคัญอย่างมากในการควบคุม ActiveX อื่น ๆ

การแก้ไขที่สำคัญที่สุดใน Patch Tuesday ในวันนี้เป็นการแก้ไขหลุมที่เปิดเผยเมื่อแปดวันที่แล้วในตัวควบคุม Microsoft Video ActiveX ข้อบกพร่องที่อยู่ภายใต้การโจมตีที่ใช้งานได้รับการจัดอันดับที่สำคัญสำหรับ Windows XP และปานกลางสำหรับ Windows 2003 MS09-032 patch ปิดการใช้งานการควบคุมที่ไม่ได้ใช้ (เพื่อวัตถุประสงค์ที่ถูกต้อง) เพื่อสกัดกั้นการโจมตีที่อาจเกิดขึ้น แต่ไม่ได้กำหนดข้อบกพร่องอยู่จริง

หมายเหตุ: นับตั้งแต่ 14:00 น. Microsoft ยังไม่โพสต์ลิงก์ของข่าวแต่ละฉบับ (สำหรับ MS09-032 เป็นต้น) จนกว่าจะเชื่อมโยงเหล่านี้จะนำคุณไปยังโฮมเพจของ TechNet เท่านั้น

การอ่านข้อมูลเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ

การแก้ไขครั้งที่สองเป็นการปิดช่องโหว่อื่น ๆ ที่เกี่ยวข้องกับกระบวนการที่ Microsoft DirectShow ประมวลผล QuickTime เนื้อหา. แพทช์ MS09-028 ปิดข้อบกพร่องด้านความปลอดภัยสามข้อซึ่งเปิดเผยในเดือนพฤษภาคมซึ่งสามารถเรียกใช้งานได้เมื่อเปิดหรือแม้กระทั่งการดูตัวอย่างไฟล์ QuickTime ที่เป็นพิษ Windows XP, 2000 และ Server 2003 ได้รับผลกระทบทั้งหมดไม่ว่าจะมีการติดตั้ง QuickTime ของ Apple บนพีซีที่มีช่องโหว่ ดู MS09-028 bulletin สำหรับข้อมูลเพิ่มเติม

ช่องโหว่ 2 ช่องโหว่ที่สำคัญใน Microsoft Engine แบบฝังตัว OpenType ของ Microsoft ถูกปิดด้วยแพทช์ที่สาม MS09-029 แม้ว่าทั้งสองข้อบกพร่องจะถูกระบุว่าอยู่ภายใต้การโจมตีที่ใช้งานอยู่ทั้งสองจะได้รับคะแนนอันตรายจาก "การใช้ประโยชน์จากข้อมูลที่สอดคล้องกัน" ในดัชนี Exploitability ของ Microsoft Windows 2000, XP, Server 2003, Vista และ Server 2008 มีความเสี่ยงทั้งหมด

สามช่องโหว่อื่น ๆ ที่ปิดรูมีความสำคัญมากกว่าสิ่งสำคัญ แพทช์สำหรับ Office 2007 จะปิดรูใน Microsoft Office Publisher ที่อาจถูกโจมตีเมื่อเปิดไฟล์ Publisher ที่เป็นอันตราย (ดู MS09-030) อีกสองข้อสำหรับ Virtual PC และ Virtual Server (MS09-033) และ Microsoft Internet Security และ Acceleration Server 2006 (MS09-031) ข้อควรระวังเรื่องการเพิ่มสิทธิพิเศษอย่างใกล้ชิดและน่าจะเป็นเรื่องที่น่ากังวลที่สุดสำหรับประเภท IT

การแก้ไขเหล่านี้ จะมาถึงทาง Automatic Updates และคุณยังสามารถเรียกข้อมูลด้วยตนเองด้วยการรัน Microsoft Update แต่โปรดจำไว้ว่าข้อบกพร่องที่สำคัญเพียงอย่างเดียวที่รายงานเมื่อวานนี้ยังไม่มีการยืนยัน ข้อบกพร่องที่เกี่ยวข้องกับตัวควบคุม activex ที่ติดตั้ง Office ช่วยให้สามารถโจมตีแบบไดรฟ์โดยดาวน์โหลดได้ แต่สามารถลดได้ด้วยการเรียกใช้ Fix-it ฉบับย่อ