  [[-Blog NuBi Kren-]]
[[ Carilah sesuatu yang kita cari sebelum menemukan yang kita temukan ]]
Microsoft mengkonfirmasi lain kerentanan zero-day!
Microsoft mengkonfirmasi lain kerentanan zero-day pada hari Senin dalam satu set komponen perangkat lunak yang kapal dalam berbagai macam produk perusahaan.
Kerentanan berada di Komponen Office Web Microsoft, yang digunakan untuk penerbitan spreadsheet, grafik dan database ke Web, antara fungsi lainnya. Perusahaan ini bekerja pada sebuah patch tapi tidak memberi tanda bila akan dibebaskan, menurut penasihat sebuah.
"Secara khusus, kerentanan yang ada dalam kontrol ActiveX Spreadsheet dan sementara kita hanya melihat serangan terbatas, jika berhasil dieksploitasi, penyerang bisa mendapatkan hak-hak pengguna yang sama dengan pengguna lokal," tulis Dave Forstrom, seorang manajer kelompok yang merupakan bagian dari Microsoft Security Response Center, dalam posting blog.
Kontrol ActiveX adalah sebuah program add-on kecil yang bekerja dalam browser Web untuk memfasilitasi fungsi seperti men-download program atau update keamanan. Selama bertahun-tahun, bagaimanapun, kontrol telah cenderung akan kerentanan.
Kelemahan baru terjadi hanya sehari sebelum perusahaan ditetapkan untuk rilis patch bulanan, termasuk saling memperhatikan kerentanan zero-day mengungkapkan awal bulan ini. Bahwa masalah terletak pada kontrol ActiveX Video dalam Internet Explorer dan saat ini sedang digunakan oleh hacker dalam drive-by upaya download.
Dalam kasus kerentanan sangat berbahaya, Microsoft telah melenceng dari jadwal patch dan menerbitkan satu dari siklus.
Microsoft mengatakan bahwa cacat dapat memungkinkan penyerang untuk mengeksekusi kode secara remote pada mesin jika seseorang menggunakan Internet Explorer mengunjungi situs Web jahat, sebuah teknik hacking yang dikenal sebagai download drive-by. Situs web yang mengumpulkan konten pengguna yang disediakan atau iklan bisa dicurangi untuk mengambil keuntungan dari kerentanan.
"Dalam semua kasus, penyerang harus ada cara untuk memaksa pengguna untuk mengunjungi situs Web ini," kata penasehat. "Sebaliknya, penyerang harus membujuk pengguna untuk mengunjungi situs Web, biasanya dengan mengajak mereka untuk mengklik link dalam pesan e-mail atau pesan Instant Messenger yang membawa pengguna ke situs Web penyerang."
Microsoft mengeluarkan daftar perangkat lunak yang terkena dampak, yang meliputi Kantor XP Service Pack 3, 2003 Service Pack 3, beberapa versi Internet Security dan Percepatan Server dan Office Small Business Accounting 2006, antara lain.
Sampai patch siap, Microsoft mengatakan salah satu pilihan bagi administrator adalah untuk menonaktifkan Komponen Office Web dari berjalan di Internet Explorer dan telah memberikan instruksi.
Thanks, semoga bermanfaat.
Newbie iebbei
|
Postingan
