Microsoft vydal opravy pro 11 chyb včetně jedné zneužívané

Jedna z aktualizací obsahuje také první opravu pro operační systém Windows 8 Consumer Preview, který Microsoft uvolnil koncem února.

Nejvíce pozornosti by však uživatelé měli věnovat aktualizaci s označením MS12-027, která obsahuje opravu pro zero-day zranitelnost, takže pro ně představuje největší hrozbu. Chyba je konkrétně v ovládacím prvku ActiveX, který je součástí každé 32bitové verze kancelářského balíku Office. Aktualizovat je však podle Microsoftu nutné také nástroje SQL Server, Commerce Server, BizTalk Server, Visual FoxPro a Visual Basic.

„Hackeři již zranitelnost zneužívají pomocí poškozených textových dokumentů,“ přiznal Microsoft na svém blogu věnovaném zabezpečení. Ve chvíli, kdy uživatel daný soubor otevře v programech Word nebo WordPad, reálně hrozí, že útočníci získají nad počítačem plnou kontrolu. Bezpečnostní experti i Microsoft proto uživatelům doporučují nainstalovat aktualizaci MS12-027 jako první. Kromě textových souborů mohou hackeři chybu zneužít i pro útoky vedené přes webové stránky. Aktualizace MS12-027 tedy reaguje hned na dva možné scénáře útoků.

Microsoft neprozradil, kdy se o útocích poprvé dozvěděl ani kdo bezpečnostnímu týmu chybu oznámil. Pokud totiž daná chyba opravdu představuje takovou hrozbu, mohl opravu vydat již dříve prostřednictvím mimořádného patche. K takovému kroku se však Microsoft odhodlává jen výjimečně. Naposledy tak učinil v listopadu loňského roku. ActiveX je navíc produktem třetí strany, takže vydání opravy nebylo tak jednoduchou záležitostí.

Zřejmě se nikdo nebude ani divit, že Microsoft zranitelnost v ActiveX označil za kritickou. Stejnou nálepku dostalo i dalších sedm oprav z pravidelného úterního balíčku aktualizací. Pět z nich je určených pro internetový prohlížeč Internet Explorer, a to včetně jeho deváté verze. Další opravy řeší chyby ve Windows, .NET, Microsoft VPN a Office 2007.