Opravy Microsoftu: Windows 7 obstála, Internet Explorer 8 nikoliv

9. 12. 2009

Sdílet

Microsoft včera opravil 12 zranitelností ve Windows, Internet Exploreru a MS Office. Tři kritické chyby byly i v nejnovějším Internet Exploreru 8.

Ze 12 zranitelností označuje Microsoft za kritických celkem 7. Někteří bezpečnostní specialisté doporučují věnovat největší pozornost záplatě MS09-072 (web Microsoftu), což je kumulativní aktualizace hned pro několik zranitelností Internet Exploreru. Bez jejich nasazení hrozí klasický drive-by útok už při návštěvě podvodného či kompromitovaného webu. Vzhledem k množství uživatelů Internet Exploreru se útočníci takové situace jistě pokusí brzy využít, navíc už tak možná postupují (zranitelnosti byly objeveny dříve, než je Microsoft oficiálně oznámil, tj. šlo o chyby typu zero day). Zde stojí za upozornění, že původně oznámené zero day zranitelnosti se ovšem netýkaly verze MSIE 8 a souvisely pouze se zpracováním JavaScriptu. Microsoft ale nyní opravil i další chyby.

Viz také: Microsoft přiznal zranitelnost v Internet Exploreru 6 a 7, způsob opravy neupřesnil, Microsoft zítra opraví chybu zero day v Internet Exploreru

Andrew Storms z firmy nCircle Network Security pro americký Computerworld uvedl, že Microsoft v tomto případě dokázal opravy vydat necelých 14 dní od oznámení zranitelnosti, což je téměř rekordní rychlost reakce. Storms říká, že předvánoční nákupní horečka je příležitostí pro internetové podvodníky, takže Microsoft byl motivován uživatele chránit. Nicméně protože příslušný bulletin zabezpečení děkuje VeriSign iDefense, je také možné (až pravděpodobné), že Microsoft o chybě věděl a opravy chystal dříve, než byl problém vůbec zveřejněn.

Podle Stormse je ale ještě divnější na této dávce záplat něco jiného. Aktualizace MS09-072 opravuje i další kritické zranitelnosti Internet Exploreru, z nichž 3 se navíc týkají verze MSIE 8, a z toho 2 pouze této verze. Což pro Microsoft může být jen těžko příjemné – kde se tyto zranitelnosti vzaly? Zjevně nejde o důsledek převzetí staršího kódu, ale o problémy v nové metodice vývoje softwaru a nejspíš se tyto chyby nějak vztahují k novým funkcím. Microsoft v Internet Exploreru 8 značně pozměnil způsob zpracování HTML, aby prohlížeč lépe vyhovoval standardům, a zranitelnosti zřejmě vznikly právě souvisejícími přepisy kódu...

Jiní analytici oslovení americkým Computerworldem ovšem doporučují věnovat velkou pozornost také záplatě MS09-070 (služba Active Directory v operačním systému). Pak je zde i bulletin zabezpečení MS09-073, který opravuje zranitelnosti ve WordPadu a ve zpracování starších formátů v novějších verzích MS Office...

bitcoin_skoleni

Z pohledu Microsoftu je úspěchem fakt, že nebylo nutné nic opravovat ve Windows 7 – pokud tedy pomineme Internet Explorer 8, který je zde výchozím prohlížečem.