Microsoft załatał lukę zero-day także w niewspieranym już Windowsie XP

05-05-2014, 09:00

Jeśli spędziliście długi weekend z dala od komputera, to zapewne dopiero dzisiaj dowiedzieliście się o aktualizacji zabezpieczeń dla wszystkich wersji Internet Explorera, również tych przestarzałych. Komentatorzy dość zgodnie oceniają ruch Microsoftu jako błąd.

Pod koniec kwietnia eksperci z firmy FireEye poinformowali o ukierunkowanych atakach z wykorzystaniem nowo odkrytej luki w Internet Explorerze. Podatność występuje we wszystkich wersjach IE - od wiekowej „szóstki” (wydanej w sierpniu 2001 r.) po „jedenastkę” udostępnioną wraz z Windowsem 8.1. W jej wykorzystaniu pomaga znana od pewnego czasu technika „exploitacji” Flasha. Skutek? Ominięcie mechanizmów ASLR (ang. Address Space Layout Randomization) i DEP (ang. Data Execution Prevention), co pozwala atakującemu na zdalne wykonanie dowolnego kodu.

Microsoft szybko potwierdził istnienie luki, ale nikt raczej nie oczekiwał, że firma upora się z wydaniem aktualizacji w niecały tydzień. Jeszcze większą niespodzianką było załatanie tej podatności w niewspieranym już Windowsie XP. Jak na oficjalnym blogu producenta wyjaśniła Adrienne Hall, o przygotowaniu poprawki również dla tego systemu zadecydował fakt, że jego wsparcie dopiero co się zakończyło (konkretnie 8 kwietnia br.). Wielu komentatorów uważa, że Microsoft strzelił sobie tym ruchem w kolano.

Według Petera Brighta z serwisu Ars Technica usunięcie poważnej luki zero-day da użytkownikom Windowsa XP złudne poczucie bezpieczeństwa, nie każdy zdaje sobie bowiem sprawę, że tylko regularne aktualizowanie wykorzystywanych programów pozwala ograniczyć ryzyko ataku. Warto też wspomnieć o wytrąceniu argumentów z rąk działów IT, które próbowały przekonać niezorientowanych technologicznie szefów do rezygnacji z przestarzałego systemu na rzecz którejś z nowszych wersji - nie każdy będzie chciał zrozumieć, że wydanie poprawek dla niewspieranego Windowsa XP to jednorazowa akcja Microsoftu, która może się już nie powtórzyć (zob. Ars TechnicaMicrosoft’s decision to patch Windows XP is a mistake).

Aktualizację można pobrać za pośrednictwem Windows Update, bardziej szczegółowych informacji na jej temat dostarcza opublikowany 1 maja biuletyn krytyczny MS14-021. Poprawkę warto zainstalować, nawet jeśli nie używamy Internet Explorera. Silnik renderujący IE został tak zaprojektowany, aby twórcy oprogramowania mogli dodawać funkcjonalność przeglądarki do swoich własnych aplikacji i wielu z tej opcji korzysta. Nie instalując poprawki, narażamy się więc na atak.


Źródło: Microsoft, Ars Technica
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930