Opravy Microsoftu: ATL a Office Web Components

12. 8. 2009

Sdílet

Srpnový balíček aktualizací Microsoftu opravuje celkem 19 zranitelností v systému Windows i v aplikacích Media Player, Outlook Express, v sadě Office i v Internet Information Serveru. Ve Windows byly opraveny například součásti/služby Windows Internet Name Service a Telnet.

O plánovaných úterních záplatách Microsoftu jsme již informovali. Po uvolnění oprav jsou samozřejmě k dispozici podrobnější informace.

Viz také: Microsoft chystá 9 oprav, asi hlavně knihovny ATL

 

Pět z právě opravených chyb (aktualizace MS09-037) se vztahuje k záplatě starší verze knihovny ATL (Active Template Library), respektive aplikací vyvinutých na jejím základě. Všechen rozruch vznikl kvůli jedinému znaku &, který byl v kódu navíc. Tento problém se vyskytuje i v softwaru třetích stran (Adobe apod. - Adobe opravila přehrávač Flash). Žádných oprav se tentokrát nedočkal Internet Explorer.

Aktualizace MS09-043 se týkají sady ActiveX komponent Office Web Components, které slouží k publikování/zobrazení dokumentů MS Office na webu.

Pět ze záplatovaných zranitelností označuje Microsoft jako kritické, byť u žádné z nich zatím nebyly zaznamenány probíhající útoky/pokusy o zneužití. U chyb v Office Web Component to ale hrozí, protože tyto zranitelnosti již byly údajně přidány do útočného nástroje Metasploit. Útok by se dal realizovat např. prostřednictvím záměrně upravené excelové tabulky, kterou by ke zneužití stačilo pouze zobrazit v Internet Exploreru. Chyba v Media Playeru, respektive obecněji ve zpracování formátu AVI, by zase mohla být zneužitelná jen pomocí podvrženého videosouboru.

Analytici citovaní americkým Computerworldem pokládají za prioritní opravy zranitelností ATL, tedy aktualizaci MS09-037. Andrew Storms z firmy nCircle Network Security uvedl, že čekal větší množství těchto oprav, ovšem celý problém ještě podle něj není zdaleka u konce a chybami souvisejícími s knihovnou ATL se bude Microsoft ještě muset zabývat i v budoucnu.

ICTS24

Pravidelná dávka oprav následuje asi 14 dní poté, co Microsoft vydal letos poprvé také opravy mimořádné (viz článek Microsoft opravil Internet Explorer a Visual Studio).