Microsoft na leden plánuje velký balík oprav Windows

Pouze jediná ze sedmi aktualizací byla Microsoftem označena za kritickou, což je nejvyšší stupeň v jeho systému hodnocení. I u některých ze zbylých šesti aktualizací však podle vývojářů existuje riziko jejich zneužití pro šíření škodlivého kódu.

Jedna z aktualizací nese označení „security feature bypass“, což je termín, který dosud Microsoft nikdy nepoužil. „Takové chyby nemohou být samy o sobě zneužity útočníkem,“ vysvětluje Angela Gunn, mluvčí Microsoft Security Response Center. Spíše prý připadá v úvahu, že útočníkovi usnadní zneužití jiné zranitelnosti.

Podle Andrewa Stormse z nCircle Security jde nejspíše o to, že někdo objevil metodu, jak vypnout nebo obejít některý z bezpečnostních prvků Windows a díky tomu tak může snáze zneužít jinou zranitelnost. Oním bezpečnostním prvkem prý může být jak technologie UAC (User Account Control), tak i nástroje DEP či ASLR.

Jiný analytik, Paul Harvey z Lumension, se zase domnívá, že chyba může být v SEHOP, což je označení pro technologii, která uživatele chrání před běžnými hackerskými technikami. SEHOP se poprvé objevila ve Windows Vista SP1, ale je součástí také systémů Windows 7, Server 2008 a Server 2008 R2. V čem se skutečně zakopaný pes, se ale dozvíme až příští týden v úterý, kdy vyjde samotný patch.

Nová kategorie nemusí podle Stormse nutně znamenat, že Microsoft očekává příliv nových zranitelností, kterým bude moci dát takové označení. Výzkumníci jen zřejmě nevěděli, kam chybu zařadit, a tak pro ni vymysleli zcela nové označení.

Microsoft odmítl prozradit, jestli bude úterní update obsahovat také opravu pro chybu v SSL 3.0 a TLS 1.0 v rámci systému Windows, na kterou dvojice výzkumníků upozornila již v září loňského roku. Ti také vytvořili exploit BEAST, první nástroj umožňující její zneužití. Opravu měl původně obsahovat již prosincový update, avšak kvůli problémům s kompatibilitou musel Microsoft změnit plány.