Microsoft opravil kritické chyby ve Windows a Office

Microsoft včera vydal 4 aktualizace, které opravují 5 zranitelností ve Windows a MS Office. Za vážné jsou pokládány zranitelnosti ve Windows XP, 64bitových Windows 7 a chyba, která útočníkovi umožňuje obejít zabezpečení Outlooku.


Z hlediska počtu je to jeden z nejméně vydatných „úterků“ (Microsoft uvolňuje pravidelné bezpečnostní aktualizace každé druhé úterý v měsíci). Na druhé straně ale všech 5 zranitelností Microsoft hodnotí jako kritické. 4 z nich mají navíc v exploitability indexu známku 1, což znamená, že Microsoft předpokládá existenci funkčního exploitu do 30 dnů.

Bulletin zabezpečení MS10-042 se týká chyby ve Windows XP a Windows Serveru 2003, na kterou upozornil výzkumník Googlu Tavis Ormady (konkrétně šlo o problém v Centru pro nápovědu a odbornou pomoc, viz článek Ve Windows XP byla objevena další kritická zranitelnost). Mezitím se již objevila řada pokusů o zneužití. Experti na americkém Computerworldu chválí Microsoft za to, že opravu dokázal vyvinout relativně krátce po zveřejnění chyby a startu útoků.

Oprava MS10-042 se týká 64bitové verze Windows 7 a Windows 2008 Serveru R2. Zranitelný zde byl ovladač Canonical Display Driver a rozhraní DirectX (viz článek Microsoft varuje před chybou v 64bitových Windows 7, zneužitelnost sporná). Dosud se doporučovalo útokům předejít tak, že se vypne rozhraní Aero. Chyba vznikla údajně při portování 32bitového kódu na 64bitové systémy.

Po 1 aktualizaci je určeno pro databázi Access a e-mailového klienta Outlook. Chyba v Outlooku je velmi vážná, protože útočníkovi umožňovala podvrhnout koncovku připojeného souboru (takže např. exe soubor uživatel může vidět s koncovkou txt a kliknutím ho pak bez obav spustí). Navíc šlo e-mail propojit se spustitelným kódem umístěným na serveru, což zcela obešlo bezpečnostní mechanismus Outlooku a uživateli se nezobrazilo žádné varování.

2 opravené chyby v Aceesu se týkají komponent ActiveX, které tato databázová aplikace používá.

Očekává se, že v srpnu se dočkáme opět většího množství oprav...

 











Komentáře