Microsoft opravil celkem 15 bezpečnostních děr ve Windows a Office

Opravy těchto 15 trhlin bylo rozděleno do šesti bezpečnostních aktualizací, což je oproti minulému měsíci méně než polovina. V říjnu totiž Microsoft přinesl rekordních 34 oprav ve 13 samostatných balíčcích. Z 15 úterních oprav byly tři označeny jako kritické a zbylých 12 jako důležité, což je jen o stupeň nižší úroveň na čtyřstupňové škále, kterou Microsoft pro označování nebezpečnosti zranitelností používá.

Experti se shodují, že uživatelé by se měli zaměřit hlavně na aktualizaci s názvem MS09-065. Ta opravuje kritickou zranitelnost ve všech verzích operačních systémů Windows s výjimkou Windows 7 a Windows Serveru 2008 R2.

Andrew Storms, ředitel bezpečnostních operací ve společnosti nCircle Network k tomu poznamenává, že se jedná o zranitelnost kernelu Windows, dostupnou přes Internet Explorer a uživatel při útoku není absolutně nijak varován. Richie Lai, ředitel výzkumu zranitelností v bezpečnostní společnosti Qualys souhlasí s tím, že každý, kdo používá Internet Explorer a nemá nainstalovanou tuto záplatu, velmi riskuje. Chyba ovšem není v prohlížeči, ale v ovladači kernelu Win32k.

Hackeři mohli také zneužívat zmíněnou chybu pomocí dokumentů Wordu a PowerPointu, přiložených do e-mailových zpráv a pak přinutit uživatele je otevřít, neboť chyby spočívala ve špatném zpracování EOT fontů, které se používají právě i v dokumentech aplikací Word a PowerPoint, ale také na webových stránkách. Jedním ze způsobů, jak útoku zabránit bylo proto zakázat podporu EOT fontů v Internet Exploreru.

Vzhledem k tomu, že zranitelnost se neobjevila ve Windows 7 a Windows Serveru 2008 E2, Storms a Lai se shodují v tom, že Microsoft tuto chybu objevil před dokončením jejich finálního kódu v ostatních operačních systémech od Windows 2000 a XP přes Windows Server 2003 a 2008 až po Vistu ji nyní opravuje. Storms však varuje, že chyba byla opravena pravděpodobně až před odchodem Windows 7 do výroby a Release Candidate verze je proto stále zranitelná, nicméně pro ni se vydání aktualizace ani neplánuje. Uživatelé, kteří mají RC verzi Windows 7 nainstalovanou, jsou tak podle tohoto experta vystaveni riziku a doporučuje jim upgrade na finální verzi Windows 7.

Další opravy se pak týkají Visty a Windows Serveru 2008 a také již stařičkých Windows 2000 Server, kde byl problém v implementaci Licence Logging Serveru. Co se týká oprav v aplikacích balíčku Microsoft Office, zde je opraveno osm zranitelností v Excelu pomocí záplaty s názvem MS09-67 a jedna ve Wordu prostřednictvím MS09-068. Aktualizace jsou určeny i pro Office 2004 a 2008 pro Mac.