Opravy Microsoftu: Windows, Internet Explorer, SMB, GDI, ActiveX, FTP...

14. 10. 2009

Sdílet

Jak jsme již informovali, Microsoft včera vydal balík 13 záplat, které opravují celkem 34 zranitelností (rekordní počet za 5 let). Postiženy jsou všechny podporované verze Windows, Internet Explorer, MS Office, SQL Server a další aplikace.

Viz také: Microsoft vydá v úterý dosud vůbec největší balík záplat

21 z 34 zranitelností označuje Microsoft jako kritické, tj. nejvyšší známkou závažnosti. Některé z nich mají charakter zero day, tj. pokusy o jejich zneužití již aktivně probíhají – dosud ale tato skutečnost nebyla vesměs známa.

Microsoft opravil již delší dobu známou zranitelnost v protokolu SMB (Server Message Block) 2. (Viz také: Chyba ve Windows Vista možná hrozí rozsáhlým zneužitím). Opravy se dočkala implementace protokolu FTP ve starších verzích serveru IIS (Viz také: Hacker může kvůli chybě v FTP převzít kontrolu serveru MS IIS).

Kritická a typu zero day také byla chyba v runtimu pro Windows Media. Andrew Storms z firmy nCircle Network Security, který pro americký Computerworld záplaty Microsoftu komentuje pravidelně, doporučuje co nejrychleji nasadit právě tuto záplatu (MS09-051). Navíc tuto chybu lze zneužít pouze nasměrováním uživatele na podvodný web bez nutnosti další akce (tedy zneužití typu drive-by).

Několik chyb se vztahuje také ke starším problémům s knihovnou ATL (Active Template Library, viz také Microsoft chystá 9 oprav, asi hlavně knihovny ATL). Microsoft také zakázal („kill bit“) několik svých vlastních prvků ActiveX – ve Windows Live Mail, v nástroji pro upload fotografií MSN Photo a v komponentách, které umožňovaly prohlížet dokumenty MS Office v Internet Exploreru (Office Web Component, rovněž poměrně častý zdroj zranitelností).

Internet Exploreru se týká hned několik zranitelností (MS09-054).

ICTS24

Hned 8 zranitelností bylo opraveno v rozhraní GDI+ (Graphics Device Interface). Tento problém lze zneužít například pomocí speciálně upraveného obrázku v příloze e-mailu nebo umístěním takového obrázku na web. Toto rozhraní je přitom součástí všech verzí Windows od Windows XP, a to včetně Windows 7 i serverových edic. I chyby v GDI jsou časté, jejich zneužití ale aktuálně zřejmě neprobíhá.