S 11 aktualizacemi z 10. prosince dosáhne počet aktualizací společnosti Microsoft 106 za rok 2013, což vyrovnává rekord z roku 2010 a znamená 28% nárůst ve srovnání s rokem 2012.
Pět z aktualizací uvedených v upozornění na aktualizace má označení „kritická“, tedy nejvyšší stupeň na interním žebříčku Microsoftu, zbývajících šest mají označení „důležitá“, tedy o stupínek nižší.
„Ze všeho nejdříve je potřeba nainstalovat záplatu pro IE,“ řekl Andrew Storms, ředitel pro vývoj a provoz bezpečnostní společnosti CloudPassage se sídlem v San Francisku.
Kritická aktualizace IE se bude týkat všech aktuálně podporovaných verzí prohlížeče Microsoftu od stařičkého IE6 po nedávno vydaný IE11. Tato aktualizace mimo jiné znamená, že Microsoft v letošním roce svůj webový prohlížeč opravoval každý měsíc, zatímco do července loňského roku probíhaly aktualizace této aplikace s poloviční frekvencí, tedy jednou za dva měsíce.
Společnost bude muset podporovat hned šest verzí IE přinejmenším do dubna, kdy konečně odejde do důchodu IE6, který debutoval před více než 12 lety a který sklízí spíše posměch.
„To je daň za udržování zastaralého softwaru,“ konstatoval Storms. „Mám tím na mysli provozní náklady oddělení IT na správu a udržování hned několika verzí systému, ale stejně je na tom vlastně i Microsoft, který musí totéž dělat pro své zákazníky.“
Další důležitou aktualizaci bude záplata několika zranitelností v kombinaci verzí Windows a Office, která by měla zastavit pokračující útoky, které Microsoftu nahlásili výzkumníci společnosti McAfee na počátku listopadu. Microsoft vydal 5. listopadu informační zpravodaj zabezpečení, který hrozba popisuje a nabízí dočasnou opravu.
Další dvě kritické aktualizace se týkají systému Windows, zatímco poslední opravuje server Exchange, který je v podnicích hojně rozšířen jako hlavní poštovní server.
Storms zákazníkům doporučuje okamžitě nainstalovat důležité aktualizace systému Windows, s aktualizací pro Exhcange ale radí nespěchat.
Závažnost aktualizace serveru Exchange na jedné straně vyžaduje pozornost. Ale Storms zdůraznil, že rozhodnutí může být složitější, než se na první pohled zdá, protože oddělení IT se na konci roku raději do aktualizace e-mailových serverů nepouštějí.
„Riziko opravy a restartu serveru Exchange na konci roku jistě na poradách vyvolá žhavou debatu,“ řekl Storms, když odkázal na diskuse, které se strhnou při poradách o nutnosti aktualizací.
„Když budeme mít štěstí, zranitelnost Exchange bude v knihovnách Outside In od Oraclu a bude snáz opravitelná,“ dodal Storms.
Exchange využívá knihovny Outside In k zobrazení přiložených souborů místo jejich otvírání v aplikaci v cílovém počítači, jako je aplikace Microsoft Word. Microsoft tyto knihovny opravuje opakovaně, konkrétně letos dvakrát – naposledy v srpnu – a také dvakrát v roce 2012.
Aktualizace Outside In byla součástí sady oprav Oraclu v říjnu, takže je téměř jisté, že aktualizace pro Exchange bude řešit nejnovější chyby této sady knihoven. „S ohledem na způsob testování oprav v Microsoftu by to časově odpovídalo,“ souhlasil Storm.
Šest aktualizací označených jako důležité bude opravovat chyby zabezpečení v systému Windows, sadách Office 2010 a Office 2013, serveru SharePoint a serveru Visual Studio Team Foundation Server 2013.
Pokud nebudou provedeny, mohou kyberzločinci nakazit počítače malwarem, ukrást informace, získat další oprávnění, které jim umožní spustit nebezpečnější útoky, nebo obejít bezpečnostní prvky.
Společnost vydá aktualizace zabezpečení 10. prosince kolem 13:00 východního času, tedy zhruba v 19:00 středoevropského času.