Záplaty Microsoftu: pozor na kodek MPEG-4

Jak jsme již informovali, Microsoft si na toto úterý připravil relativně velký balík bezpečnostních záplat: 9 aktualizací opravujících 13 zranitelností, z toho 4 dle samotného Microsoftu kritické.


Viz také: Opravy Microsoftu: důvod k přechodu z Windows XP na Windows 7

 

Záplaty jsou určeny pro Windows, MS Office a webový server IIS. Mezi opravami nechybí ani obrana před červem Stuxnet (Nový červ napadá řídicí průmyslové systémy v USA a Íránu). Tento malware zneužíval chybu ve zpracování souborů zástupců (LNK). Tu sice Microsoft již opravil (Mimořádná záplata Microsoftu pro soubory LNK), červ byl ale podle všeho sofistikovanější a škodil dále i díky nějakým dalším zranitelnostem (záležitost není v tuto chvíli zcela jasná).

Za důležitou je podle amerického Computerworldu pokládána hlavně aktualizace MS10-061. Chyba zabezpečení ve službě Zařazování tisku mohla být v tomto případě zneužita ke vzdálenému spuštění kódu (ve Windows XP, v novějších verzích Windows je dopad méně dramatický a zahrnuje např. eskalaci uživatelských oprávnění). K útoku je ovšem potřeba, aby počítače sdílely tiskárnu v síti, tj. např. PC domácích uživatelů by měly být relativně v bezpečí.

Aktualizace MS10-062 je určena pro opravu kodeku formátu MPEG-4. Ke zneužití zde stačí pouze návštěva webu obsahujícího podvodný multimediální soubor a útok má pak povahu drive-by download, tj. nevyžaduje už žádnou další akci uživatele.

Oprava MS10-063 řeší chybu při zpracování písem OpenType ve Windows.

Záplaty pro Internet Information Services (IIS) odstraňují možnost kompromitovat tento server. Zranitelné byly servery s povoleným protokolem FastCGI. Tato chyba může ohrožovat především poskytovatele hostingových služeb. Microsoft však uklidňuje, že úspěšný útok by v tomto případě měl vést spíše ke zhroucení systému než k jeho ovládnutí.

Opraven byl také MS Outlook.

 











Komentáře