Microsoft vydal 3 kritické aktualizace

Jak už bylo dříve oznámeno, Microsoft vydal 12 aktualizací zabezpečení, které opravují zranitelnosti ve Windows, Internet Exploreru a webovém serveru IIS. Za nejdůležitější se však pokládají bulletiny zabezpečení MS11-003 a MS11-006, protože obě kritické záplaty jsou určeny pro zranitelnosti zero day.


 3 z 12 aktualizací Microsoft označuje jako kritické. 

 

O posledních záplatách Microsoftu viz také: Microsoft zítra opraví 3 zero day chyby: v IE, Windows a IIS

 

Analytici dotazovaní americkým Computerworldem uvádějí, že některé z oprav byly možná uvolněny i proto, aby za 4 týdny na hackerské soutěži skupiny Pwn2Own nebylo tak snadné prolomit zabezpečení Windows 7 (s doprovodným mediálním ohlasem, přirozeně).

Andrew Storms z firmy nCircle Network Security v této souvislosti poznamenal, že především záplata MS11-009, která opravuje zranitelnost ve zpracování JavaScriptu (JScriptu) a VBScriptu, by jinak umožňovala obejít ochrany ASLR (znáhodnění adresního prostoru).

Za nejdůležitější se však pokládají bulletiny zabezpečení MS11-003 a MS11-006, protože obě kritické záplaty jsou určeny pro zranitelnosti zero day. První z nich se týká chyb ve všech podporovaných verzích Internet Exploreru, druhá zase opravuje způsob, jak se v Průzkumníku Windows renderují náhledy obrázků ve složkách (problém od Windows XP po Windows Server 2008, Windows 7 ohroženy nejsou).

Rovněž kritická oprava MS11-007 je de facto doplnění prosincové záplaty (viz tento článek). Týká se Windows OpenType Compact Font Format. Chyba ohrožovala tentokrát uživatele jiných prohlížečů než Internet Exploreru a byla zneužitelná už při návštěvě podvodného webu. MSIE příslušný ovladač pro fonty OpenType nepoužívá.

Chyba MS11-004 v Internet Information Serveru se týká implementace protokolu FTP. Ačkoliv původně existovalo podezření, že tímto způsobem lze přímo manipulovat se serverem (pro změnu s novějším OS, XP a Server 2003 jsou mimo nebezpečí), posléze se podle Microsoftu ukázalo, že dodatečné ochranné mechanismy DEP a ASLR by ve výchozím nastavení měly útok zadržet. Oprava proto nemá status kritické.

 











Komentáře