Microsoft zgodnie z harmonogramem wydał lipcowe aktualizacje oprogramowania. Nie ma wśród nich żadnej łatki krytycznej, ale nie jest to powód do radości. W poniedziałek wykryto krytyczną lukę w ActiveX, a wczoraj pojawiły się doniesienia o krytycznej luce w programie Word. Oczywiście te luki nie zostały załatane.
Wszystkie udostępnione w lipcu biuletyny mają znaczenie ważne co znaczy, że odnoszą się do luk, których wykorzystanie zagraża poufności, integralności albo dostępności danych użytkownika. Usterki te nie pozwalają jednak na dokonanie zdalnego ataku bez interakcji z użytkownikiem.
Pierwszy biuletyn – MS08-040 – odnosi się do usterki w Microsoft SQL Server, która pozwala na podniesienie uprawnień. Atakujący musi w tym celu uruchomić kod na komputerze użytkownika. Luka ta została zgłoszona firmie Microsoft zanim pojawiły się ataki z jej wykorzystaniem.
Drugi biuletyn – MS08-038 – opisuje lukę w programie Windows Explorer. Pozwala ona na atak zdalny, w wyniku którego atakujący przejmie kontrolę nad komputerem użytkownika. Co jednak istotne, wykonanie ataku wymaga interakcji z użytkownikiem - musi on otworzyć plik. Informacje na temat tej luki nie były znane publicznie przed udostępnieniem łatki.
Kolejny biuletyn – MS08-037 – odnosi sie do luki w DNS, która może pozwalać na spoofing, czyli podszywanie się pod strony internetowe. Mówiąc inaczej, możliwe jest przeprowadzenie ataku phishingowego bez wysyłania e-maila, po prostu przekierowując użytkownika na oszukańczą stronę. W ocenie specjalistów aktualizacja usuwające tę lukę jest najważniejsza wśród wszystkich lipcowych biuletynów.
Ostatnia aktualizacja – MS08-039 – usuwa luki w Exchange Server, które pozwalały na podniesienie uprawnień. W przypadku tej usterki atak może nastąpić poprzez otworzenie specjalnie spreparowanej wiadomości e-mail. Informacje o luce nie były publikowane przed wydaniem łatki.
Dwóch zabrakło
W lipcowym wydaniu biuletynów bezpieczeństwa nie ma biuletynów krytycznych, ale powinny być. W poniedziałek pojawiły sie informacje o bardzo groźnej luce w ActiveX. Natomiast wczoraj firma Symantec wykryła usterkę w programie Word. Jej istnienie potwierdził już Microsoft.
Luka dotyczy prawdopodobnie tylko jednej wersji Worda, mianowicie 2002 SP 3. Atak może nastąpić po otworzeniu specjalnie spreparowanego pliku .doc. Użytkownicy Worda 2000 nie są narażeni na atak, ale po otworzeniu oszukańczego pliku ich procesor tekstu może się nagle zamknąć.
Z wpisu na blogu Microsoft Security Response Center wynika, że aktualizacja usuwająca usterkę zostanie wydana w przyszłym miesiącu, zgodnie z ustalonym przez Microsoft harmonogramem latania. Użytkownicy narażonej na atak wersji Worda nie powinni otwierać dokumentów z nieznanych źródeł.
Word Windows Explorer SQL Server spoofing Microsoft DNS biuletyny bezpieczeństwa| Komentarze |
 Zobacz wszystkie (5) |
 |
 |
|
|
|
 |
 |
| 11:57 | pobieraczek... |
| 19:23 | Atak na pocztę... |
| 17:14 | najlepszy darmowy antywirus?... |
 |
 |
 |
 |
 |
| Porównamy dla Ciebie promocje w 26 bankach więcej... |
| Najchętniej polecane konto osobiste! więcej... |
| Serwisy specjalne: | |
| Wydarzenia: |
Poprzedni
Pobieranie danych...