Hlavní navigace

Microsoft zítra opraví dvě kritické zranitelnosti zero day

13. 7. 2009

Sdílet

Microsoft oznámil, že zítra uvede 6 bezpečnostních oprav. Firma slíbila, že v nichž budou zahrnuty i záplaty pro Windows a Internet Explorer, které se již útočníci snaží ve větší míře zneužívat.

Konkrétně půjde o opravu v rozhraní DirectX (respektive v komponentě DirectShow) a záplatu chyby v Internet Exploreru, která umožňovala útok přes knihovnu pro přehrávání videa, přičemž vlastní akce byla provedena před komponentu ActiveX.

Viz také: Útočníci zneužívají neopravenou chybu DirectX

Microsoft potvrdil útok proti Internet Exploreru

 

Microsoft celkově slibuje 3 opravy pro Windows (kam bude zařazena i oprava zranitelnosti v Internet Exploreru), 1 pro Publisher, 1 pro ISA (Internet Security and Acceleration) Server a 1 pro virtualizační software Virtual PC a Virtual Server. Jako kritické označuje Microsoft všechny 3 záplaty pro Windows.

Nejvíce jsou samozřejmě očekávány opravy dvou zranitelností, které se již stačily dostat do kategorie zero day. Jinak není obvyklé, aby Microsoft ještě před vydáním oprav oznamoval, jaké problémy konkrétně úterní záplaty vyřeší, v tomto případě je to však logický krok: zejména poslední útok proti Internet Exploreru 6 a 7 vzbudil paniku a analytici citovaní americkým Computerworldem uváděli, že před sebou můžeme mít opakování epidemie červů typu Conficker. Oprava chyby v Internet Exploreru bude mít povahu nikoliv přímo záplat, ale automatického zásahu do registru, který znemožní fungování určitých komponent ActiveX („kill bits“).

ICTS24

Chyba v DirectX se zase vleče již poměrně dlouho, je starší než měsíc, ale Microsoft ji nestačil vyvinout před posledním balíkem záplat vydaným druhé úterý v červnu.