Microsoft opravil Internet Explorer a Visual Studio

29. 7. 2009

Sdílet

Microsoft včera uvolnil mimořádné záplaty opravující tři kritické zranitelnosti v Internet Exploreru a Visual Studiu. Opravy mimo pravidelný termín druhé úterý v měsíci vydal Microsoft naposledy loni v říjnu v souvislosti se začínající epidemií červa Conficker.

Informace o chystaných záplatách jsme již přinesli (Microsoft v úterý uvede dvě mimořádné záplaty), nyní ještě zbývá dodat ještě několik podrobností. Jak se očekávalo, další opravy se dočkala chyba v komponentě ActiveX pro zpracování videa (Microsoft zítra opraví dvě kritické zranitelnosti zero day). Zákaz této zranitelnosti metodou kill-bit zřejmě nebyl zcela účinný a na právě začínající konferenci BlackHat se očekává, že útočníci předvedou způsob, jak tuto ochranu obejít.

Jak se předpokládalo, další opravená chyba je v knihovně ATL (Active Template Library). Tento problém se přeneseně týká i Visual Studia, zde má ovšem chyba v hodnocení Microsoftu pouze status moderate. Celý problém může být ale podstatně rozšířenější, protože knihovnu ATL používá i celá řada třetích stran pro vývoj svých vlastních komponent ActiveX a dalších součástí. Zranitelných aplikací tedy po světě obíhá zřejmě docela dost. Microsoft vývojářům doporučuje nahradit zranitelnou knihovnu opravenou verzí a software rekompilovat. Možná dojde opět i na to, že Microsoft začne blokovat zranitelné komponenty ActiveX třetích stran... (viz také: Microsoft na žádost Yahoo zakázal nebezpečný prvek ActiveX)

ICTS24

Někteří výzkumníci uvádějí, že stejný kus kódu používá také Windows Media Player, to ale Microsoft zatím nepotvrdil.