primeiro remendo de Ano terça-feira destaca conflito entre Microsoft e Google

Normalmente, a segunda terça-feira do mês é apenas mais um dia no escritório para os pesquisadores de segurança da Microsoft e profissionais de TI que ofereçam suporte a redes empresariais.

Inovação;? Mercado M2M salta para trás no Brasil; Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; Segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; Segurança; Casa Branca nomeia primeiro Chefe Federal Information Security Officer

Pela primeira Patch Tuesday de 2015, a Microsoft lançou um total de oito novas atualizações de segurança (uma classificada como crítica, os outros sete classificada como Importante) para as edições desktop e servidor do Windows. Além disso, a empresa lançou uma atualização para um patch de Internet Explorer do mês passado e uma atualização para o componente Adobe Flash Player embutido no Internet Explorer 11.

Mas este lote de manchas é muito diferente de seus antecessores em dois aspectos.

Microsoft está tomando seu Serviço de Notificação antecipada privada, alegando que a mudança é devido a mudanças na forma como os usuários querem que seus notificações de segurança antecedência.

Em primeiro lugar, graças a uma mudança na política de notificação de segurança avanço da Microsoft, a maioria dos clientes da Microsoft não obter um heads-up na semana passada. (Essa honra é reservada aos clientes com contratos de suporte Premier pagos e organizações envolvidas com a investigação de segurança.)

Em segundo lugar, dois dos oito atualizações são listados como respostas a “divulgadas publicamente” vulnerabilidades em vez dos mais habituais “comunicadas de forma privada” questões. Google não é chamado pelo nome em qualquer um dos boletins de segurança, mas boletins MS15-001 e MS15-003 são respostas directas a divulgações que o Google feitas como parte de uma política de linha dura sobre a divulgação de questões de segurança que identifica.

A única atualização crítica, MS15-002, corrige uma vulnerabilidade no serviço Telnet do Windows que pode permitir a execução remota de código. Esta actualização é essencial para instalações do Windows Server. É improvável que afetam você, se você executar o Windows em um PC desktop ou laptop, no entanto. Telnet é um componente opcional e não é instalado por padrão no Windows Vista e versões desktop mais recentes do Windows, a menos que você saiu do seu caminho para instalá-lo, você não está em risco.

MS15-004, embora não seja classificada como crítica, provavelmente deve ser movido para o topo da fila de atualização da sua organização. De acordo com as observações, esta falha, que envolve uma combinação de o cliente Remote Desktop e componente TS WebProxy, está “sendo usado em ataques limitados, direcionados como um bypass sandbox.” Ela afeta todas as versões desktop do Windows com suporte e todas as versões do Windows Server, exceto o Windows Server 2003.

Mas as duas atualizações mais bem-observada estão no cerne da disputa feia deste mês entre a Microsoft e Google.

Por que muitas placas de deixar a segurança de TI principalmente para técnicos de segurança, e por techies não consegue convencer seus conselhos para passar escasso dinheiro na proteção das informações das partes interessadas? Oferecemos orientação sobre como fechar a lacuna de governança de segurança de TI.

MS15-001 e MS15-003 são o resultado de vulnerabilidades descobertas por pesquisadores do Google. Ambos os erros se tornou vulnerabilidades zero-day depois que chegaram prazo de divulgação de 90 dias arbitrária do Google e foram automaticamente tornadas públicas.

O primeiro boletim identifica um erro no cache de compatibilidade de aplicações do Windows, que foi primeiramente relatada por do Google James Forshaw em 30 de setembro, 2014, e, em seguida divulgado automaticamente após 90 dias, em 29 de dezembro Este bug afeta o Windows Server 2008 R2 e versões posteriores ( mas não Windows Server core), bem como Windows 7, Windows 8 e Windows 8.1.

O segundo boletim envolve uma vulnerabilidade no serviço de perfil de usuário do Windows. Essa vulnerabilidade, também relatado por James Forshaw, foi inserido no banco de dados de pesquisa de segurança da Google em 13 de outubro e, em seguida, feita automaticamente público após 90 dias, em 11 de janeiro Este bug afeta todas as versões suportadas do Windows, desktop e servidor.

Uma nota nos comentários de que o segundo relatório de bug destaca a incompatibilidade fundamental entre o calendário de Google e procedimento de atualização estabelecido da Microsoft.

Em 11 de novembro, menos de um mês após o erro foi relatado, um comentário no banco de dados bug Google observou que a Microsoft planeja lançar uma correção em fevereiro de 2015.

> Microsoft confirmou que eles estão no alvo para fornecer correções para estas questões em Fevereiro de 2015. Eles perguntaram se isso iria causar um problema com o prazo de 90 dias.