Microsoft opravuje Outlook, Office a Visual Basic

Jak již bylo oznámeno na konci minulého týdne, Microsoft opravil toto úterý pouze dvě zranitelnosti: Jedna se týkala sady MS Office a vývojového prostředí VBA, druhá e-mailového klienta ve Windows.


Viz také: Microsoft chystá jen dvě opravy – pro Windows a MS Office

(zde rovněž popis chyb, které zatím opraveny nebyly)

 

Obecně tyto opravy nejsou hodnoceny jako příliš významné. Microsoft zpravidla střídá měsíce, v nichž je vydáno hodně/málo aktualizací. Z tohoto hlediska se lze příští měsíc zřejmě na co těšit, a to i z řady jiných důvodů – celá řada zranitelností totiž dosud zůstává neopravena.

Záplata MS10-030 se vztahuje k e-mailovému klientu Outlook Express ve Windows XP, respektive k jeho nástupcům v systémech Vista/Windows 7. Útočníci mohli tuto chybu podle Microsoftu zneužít tak, že přiměli uživatele navštívit podvodný mailserver. V zásadě jde hlavně o riziko útoku man-in-the-middle; tento útok je proveditelný např. v sítích Wi-Fi. Microsoft uvádí, že riziko se vztahuje hlavně na případy, kdy uživatelé kontrolují svoji poštu z veřejných hotspotů (kavárny, fast foody, letiště, univerzity či knihovny), aniž přitom se serverem komunikují před https/ssl. Windows 7 jsou údajně potenciálně zranitelné i tehdy, když si jejich uživatelé nenainstalovali komponentu Live Mail.

Oprava MS10-030 je určena primárně pro MS Office, ale současně opravuje i kritickou zranitelnost ve vývojovém prostředí Visual Basic for Applications. Samozřejmě ale způsob zneužití přes aplikace Office je pro útočníky lákavější. V zásadě stačí oběť přimět k otevření speciálně připraveného dokumentu. To, že chyba se vyskytuje i ve vývojovém prostředí, ale činí potenciálně zranitelnými i aplikace celé řady třetích stran.

 











Komentáře