Microsoft pobił tegoroczny rekord w łataniu

10-06-2010, 17:57

W czerwcu Microsoft opublikował 10 poprawek, które łatają 34 podatności – najwięcej, jak dotąd, w 2010 r. i tyle samo, co w październiku 2009 r., gdy wydano 13 łat usuwających 34 błędy w zabezpieczeniach (był to ówczesny rekord wszech czasów pod względem liczby usuwanych luk). Większość załatanych teraz dziur narażała użytkowników systemu Windows i pakietu MS Office na cyberataki z możliwością przejęcia pełnej kontroli nad komputerem włącznie. Na szczególną uwagę zasługuje aktualizacja Excela usuwająca aż 14 podatności znalezionych w tym oprogramowaniu.

BIULETYNY KRYTYCZNE

Biuletyn MS10-033

Pierwsza poprawka, której nadano wskaźnik ważności „krytyczny”, usuwa dwie luki w zabezpieczeniach dekompresowania plików multimedialnych, występujące m.in. w bibliotekach Quartz.dll (DirectShow) i Asycfilt.dll (składnik COM). Pozwalają one na zdalne wykonanie kodu pod warunkiem, że użytkownik otworzy spreparowany plik multimedialny lub odbierze specjalnie przygotowany strumień danych ze strony WWW. Osoba atakująca, której uda się wykorzystać te podatności, uzyska takie same uprawnienia, jak użytkownik lokalny. Na atak narażeni są posiadacze wszystkich wersji systemu Windows.

(szczegółowe informacje)

Biuletyn MS10-034

Następny biuletyn oferuje zbiorczą aktualizację zabezpieczeń funkcji Killbit formantów ActiveX we wszystkich wersjach Windowsa. Łatane luki umożliwiają zdalne wykonanie kodu, jeśli użytkownik wyświetli za pomocą Internet Explorera specjalnie spreparowaną stronę WWW, która uruchomi określony formant ActiveX. Oprócz kompleksowego oprogramowania ochronnego użytkownicy komputerów powinni kierować się zdrowym rozsądkiem i unikać „ciemnych zaułków” internetu. Wskazany jest też pewien namysł przed otwarciem dokumentu lub kliknięciem w odnośnik – nawet jeżeli wydaje się, że pochodzą one od rodziny lub znajomych – komentuje Dave Marcus z McAfee Labs.

(szczegółowe informacje)

Biuletyn MS10-035

Ta z kolei aktualizacja łata sześć luk w zabezpieczeniach wszystkich wersji przeglądarki Internet Explorer. Najpoważniejsze z usuwanych błędów związane są z uszkodzeniem pamięci i pozwalają na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę WWW. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

(szczegółowe informacje)

BIULETYNY WAŻNE

Biuletyn MS10-032

Pierwsza z poprawek oznaczonych jako ważne usuwa trzy luki w zabezpieczeniach sterowników trybu jądra systemu Windows. Umożliwiają one podniesienie uprawnień, jeśli użytkownik wyświetli zawartość zawierającą specjalnie spreparowaną czcionkę TrueType. Poprawką powinni zainteresować się użytkownicy wszystkich wersji Windowsa.

(szczegółowe informacje)

Biuletyn MS10-036

Kolejna aktualizacja łata dziurę w zabezpieczeniach procedury sprawdzania poprawności obiektów COM w pakiecie Microsoft Office. Pozwala ona na zdalne wykonanie kodu, jeśli użytkownik otworzy odpowiednio spreparowany plik programu Excel, Word, Visio, Publisher lub PowerPoint. Microsoft zapewnia, że luki tej nie da się wykorzystać automatycznie, poprzez pocztę elektroniczną. Aby atak przeprowadzony w ten sposób powiódł się, użytkownik musi otworzyć załącznik. Poprawka przeznaczona jest dla pakietów MS Office 2003 oraz 2007.

(szczegółowe informacje)

Biuletyn MS10-037

Luka usuwana po zainstalowaniu tej aktualizacji występuje w zabezpieczeniach sterownika OpenType Compact Font Format i umożliwia podniesienie uprawnień, jeśli użytkownik wyświetli zawartość zawierającą specjalnie spreparowaną czcionkę CFF. Z zamieszczonych w biuletynie informacji wynika, że nie jest możliwe wykorzystanie tej dziury w sposób zdalny lub przez użytkowników anonimowych. Na atak podatne są jednak wszystkie wersje systemu Windows.

(szczegółowe informacje)

Biuletyn MS10-038

Wraz z tym biuletynem dostarczana jest aktualizacja usuwająca 14 luk w zabezpieczeniach programu Microsoft Office Excel. Najpoważniejsze z łatanych błędów pozwalają na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany arkusz kalkulacyjny. Cyberprzestępca, któremu uda się wykorzystać jedną z tych podatności, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Poprawkę powinni zainstalować użytkownicy oprogramowania MS Office 2002, 2003 i 2007 dla Windows, a także 2004 i 2008 dla Mac OS X.

(szczegółowe informacje)

Biuletyn MS10-039

Kolejna aktualizacja eliminuje trzy luki w oprogramowaniu Microsoft SharePoint Services 3.0, Microsoft Office InfoPath 2003 i 2007, a także Microsoft Office SharePoint Server 2007. Najpoważniejszy z usuwanych błędów umożliwia podniesienie uprawnień, jeśli osoba atakująca przekona użytkownika atakowanej witryny programu SharePoint do kliknięcia specjalnie spreparowanego łącza.

(szczegółowe informacje)

Biuletyn MS10-040

Ta poprawka łata lukę w zabezpieczeniach programu Internet Information Services (IIS), która pozwala na zdalne wykonanie kodu, jeśli użytkownik otrzyma specjalnie spreparowane żądanie HTTP. Osoba atakująca może w ten sposób przejąć kontrolę nad systemem, którego dotyczy podatność. Na atak narażeni są użytkownicy IIS 6.0, IIS 7.0 oraz IIS 7.5.

(szczegółowe informacje)

Biuletyn MS10-041

Ostatni z wydanych w tym miesiącu biuletynów przynosi poprawkę usuwającą błąd w zabezpieczeniach platformy Microsoft .NET Framework. Umożliwia on naruszenie podpisanej zawartości XML bez wykrycia ataku. Atak nie powiedzie się, jeśli będzie ona przesyłana zabezpieczonym kanałem (np. SSL). Aktualizacja przeznaczona jest dla wszystkich wersji systemu Windows.

(szczegółowe informacje)


Źródło: Microsoft
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy