Rekord: Microsoft opravil 31 zranitelností

Microsoft vydal opravy Windows, Internet Exploreru, Internet Information Serveru, Wordu, Excelu, Active Directory, Office pro MacOS... Z rekordního počtu 31 zranitelností je 18 kritických.


Microsoft toto úterý uvolnil celkem 10 bezpečnostních záplat opravujících 31 zranitelností. Jedná se o největší aktualizační balíček během dosavadní existence cyklu oprav vydávaných každé druhé úterý v měsíci (tento způsob firma používá od roku 2003). Dosud drželo rekord 2. úterý v srpnu 2008 a v srpnu 2006, kdy byly uvolněny opravy celkem 26 chyb.

18 zranitelností označuje sám Microsoft jako kritické. Je mezi nimi i oprava chyby, která byla použita k ovládnutí notebooku s Windows 7 a Internet Explorerem 8 na hackerské soutěži CanSecWest.

 

O prvních informacích týkajících se posledních aktualizací Microsoftu: Microsoft chystá 10 oprav, i pro Internet Explorer 8

O prolomení ochrany Internet Exploreru 8: Finální Internet Explorer 8 může být zranitelný

 

Aktualizace MS09-019 opravuje několik zranitelností právě Internet Exploreru. Ohroženi jsou především uživatelé tohoto prohlížeče na Windows XP, byť některé ze zranitelností ke zneužití vyžadují, aby útočník již pronikl do intranetu (nebo si uživatel nastavil odpovídající úroveň zabezpečení i pro internet). Možnosti reálného zneužití chyby na Windows Vista nebo Windows 7 jsou naproti tomu nejasné, u Windows 7 se zneužití podařilo prokázat pouze u verze release candidate 1. Shrnuto, protože v MSIE 7 bylo opraveno 7 zranitelností a v Internet Exploreru 8 jen jediná, Amol Sarwate ze společnosti Qualys uvedl pro americký Computerworld, že je vhodný čas přejít na novou verzi prohlížeče.

Kromě Internet Exploreru Microsoft vydal tentokrát záplaty také pro Windows, Word, Excel a převaděč Works Converter. Chyby v aplikacích Office se jako obvykle týkají zpracování souborového formátu, kdy útočník může vytvořit podvodný dokument a při jeho otevření se pokusit vzdáleně spustit kód. Záplaty se dočkala i funkce vyhledávání ve Windows. V Internet Information Serveru byl vyřešen problém zneužitelný přes sdílení souborů pomocí WebDav (o problému viz článek Microsoft WebDav může být rizikem). Opravena byla také chyba v Active Directory, naproti tomu záplatu pro kritickou zranitelnost v DirectX Microsoft vydat v tomto termínu ještě nestihl (viz článek Útočníci zneužívají neopravenou chybu DirectX). S měsíčním zpožděním byla nyní záplatována i sada MS Office pro MacOS (viz také: Microsoft měl ve vztahu k MacOS porušit vlastní pravidla).

 











Komentáře