Rekord: Microsoft zítra vydá opravy 49 zranitelností

11. 10. 2010

Sdílet

Pro Microsoft asi není příliš příjemné, že status kritických mají i 3 aktualizace pro Windows 7 a 2 pro Windows Server 2008 R2. Tentokrát se zrovna neprokázalo, že novější operační systémy jsou bezpečnější než Windows XP...

Microsoft se zítra chystá vydat balík 16 bezpečnostních aktualizací, které opraví celkem 49 zranitelností ve Windows, MS Office, Internet Exploreru a serveru SharePoint. 4 z aktualizací Microsoft označuje za kritické, 10 jako důležité.

Celkem 9 aktualizací ovšem blokuje chyby, které mohou vést na zranitelném počítači ke vzdálenému spuštění kódu. Microsoft díry umožňující spuštění kódu ovšem ne vždy deklaruje jako kritické – pokud se např. týkají funkcí, které nejsou povoleny ve výchozím nastavení, nebo když před útokem mohou ochránit další mechanismy operačního systému, např. DEP nebo ASLR.

Opravené množství zranitelností představuje každopádně rekordní počet od doby, kdy Microsoft začal v roce 2003 vydávat pravidelné bezpečnostní aktualizace každé druhé úterý v měsíci. Nicméně už v minulých letech platilo, že říjnový balík záplat býval masivní (v roce 2009 např. opravy 34 zranitelností). Andrew Storms z firmy nCircle Security na americkém Computerworldu spekuluje, že tento „cyklus“ může souviset s tím, jak má většina firem fiskální období a jak se to projevuje v pozornosti, které firmy věnují svým IT systémům (resp. jak se Microsoft snaží na tuto situaci reagovat).

12 ze 16 nejnovějších bulletinů zabezpečení je určeno pro Windows (klientské i serverové verze včetně nejnovějších systémů Windows 7 a Windows Server 2008 R2), 2 pro MS Office (konkrétně pro Word a Excel). Pro Microsoft asi není příliš příjemné, že status kritických mají i 3 aktualizace pro Windows 7 a 2 pro Windows Server 2008 R2. Tentokrát se zrovna neprokázalo, že novější operační systémy jsou bezpečnější než Windows XP – zde jsou kritické jen 2 aktualizace.

Aktualizace pro Internet Explorer se týkají verzí 6, 7 a 8; není jasné, zda tyto zranitelnosti mají nějaký vztah i k MSIE 9, který je ve stadiu betaverze.

ICTS24

Zatím nebylo ani oznámeno, zda se některé z oprav vztahují k problému s možným podvržením knihoven DLL.

Výhodou pro správce firemních IT systémů může být, že ač je vysoký počet záplat, omezené je tentokrát množství postižených produktů (nejsou vydány aktualizace pro MS SQL Server, IIS, Exchange Server...).