Nie przegap świeżych aktualizacji zabezpieczeń od Microsoftu

10-12-2014, 09:18

Zgodnie z wcześniejszą zapowiedzią gigant z Redmond opublikował w grudniu 7 biuletynów zabezpieczeń, w tym 3 oznaczone jako krytyczne. Usuwają one łącznie 25 luk w różnych komponentach systemu Windows i pakietu Microsoft Office.

Biuletyny krytyczne

Biuletyn MS14-080 (KB 3008923)

Omówienie wydanych w tym miesiącu biuletynów zaczynamy od zbiorczej aktualizacji dla Internet Explorera, która usuwa 14 luk. Najpoważniejsze z nich umożliwiają zdalne wykonanie dowolnego kodu i występują we wszystkich wersjach przeglądarki Microsoftu - od przestarzałej „szóstki” (wciąż jeszcze używanej w systemie Windows Server 2003) po „jedenastkę” udostępnioną wraz z Windowsem 8.1. Aktualizację warto zainstalować, nawet jeżeli na co dzień nie używamy IE. Jego silnik renderujący został tak zaprojektowany, aby twórcy oprogramowania mogli dodawać funkcjonalność przeglądarki do swoich własnych aplikacji i część programistów z tej opcji korzysta. Ignorując tę aktualizację, narażamy się na atak.

(szczegółowe informacje)

Biuletyn MS14-081 (KB 3017301)

Kolejny biuletyn usuwa 2 luki w edytorze tekstu Microsoft Word i oprogramowaniu Microsoft Office Web Apps. Umożliwiają one zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik Worda. Atakujący może wówczas uzyskać uprawnienia aktualnie zalogowanego użytkownika. W związku z tym osoby, których konta zostały skonfigurowane tak, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż te, które pracują z uprawnieniami administracyjnymi. Aktualizację powinni zainstalować użytkownicy oprogramowania: Microsoft Office 2007, 2010, 2013 i 2013 RT, Microsoft Office for Mac 2011, Microsoft Word Viewer, Microsoft Office Compatibility Pack, Microsoft Office Web Apps 2013 oraz Microsoft SharePoint Server 2010 i 2013.

(szczegółowe informacje)

Biuletyn MS14-084 (KB 3016711)

Następny z grudniowych biuletynów dotyczy silnika skryptów VBScript (podatne wersje to 5.6, 5.7 i 5.8). Usuwany błąd pozwala na zdalne wykonanie kodu, jeśli użytkownik odwiedzi specjalnie spreparowaną stronę internetową. Osoba atakująca, której uda się wykorzystać lukę, może uzyskać uprawnienia aktualnie zalogowanego użytkownika. Jeśli więc będzie on pracować na koncie administratora, atakujący przejmie pełną kontrolę nad systemem, otrzymując możliwość instalowania dowolnych programów, przeglądania, edytowania i usuwania danych, a także tworzenia nowych kont z pełnymi uprawnieniami. Poprawka jest przeznaczona dla systemów Windows Vista, Windows 7 oraz Windows Server 2003, 2008 i 2008 R2.

(szczegółowe informacje)

Biuletyny ważne

Biuletyn MS14-075 (KB 3009712)

Ten z kolei biuletyn usuwa 4 luki w oprogramowaniu Microsoft Exchange Server. Najpoważniejsze z nich pozwalają na podniesienie poziomu uprawnień, jeśli użytkownik kliknie w specjalnie spreparowany link prowadzący do witryny Outlook Web App (umożliwiającej dostęp do konta pocztowego utworzonego na serwerze Microsoft Exchange za pomocą przeglądarki internetowej). Aktualizację powinni zainstalować użytkownicy oprogramowania Microsoft Exchange Server 2007, 2010 i 2013.

(szczegółowe informacje)

Biuletyn MS14-082 (KB 3017349)

Kolejny biuletyn oznaczony jako ważny usuwa lukę w zabezpieczeniach pakietu Microsoft Office. Umożliwia ona zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik, wykorzystując którąś z podatnych wersji oprogramowania. Atakujący uzyska wówczas uprawnienia aktualnie zalogowanego użytkownika. Poprawką powinni zainteresować się użytkownicy pakietu Microsoft Office 2007, 2010, 2013 i 2013 RT.

(szczegółowe informacje)

Biuletyn MS14-083 (KB 3017347)

Następny z biuletynów eliminuje 2 luki w arkuszu kalkulacyjnym Microsoft Excel. Pozwalają one na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik Excela. Tak jak w opisanych powyżej przypadkach, atakujący przejmie wówczas pełną kontrolę nad systemem (chyba że potencjalna ofiara w momencie ataku nie będzie korzystać z konta administratora - to dobry, ale niestety rzadko stosowany sposób na obniżenie ryzyka). Aktualizację muszą zainstalować użytkownicy oprogramowania Microsoft Office 2007, 2010, 2013 i 2013 RT oraz Microsoft Office Compatibility Pack.

(szczegółowe informacje)

Biuletyn MS14-085 (KB 3013126)

Ostatni z udostępnionych w tym miesiącu biuletynów dostarcza poprawkę, która zapobiega wykorzystaniu luki w obsłudze grafiki w systemie Windows. Może do tego dojść, jeśli użytkownik odwiedzi stronę internetową ze specjalnie spreparowaną zawartością w formacie JPEG. Nie da się poprzez tę lukę uruchomić szkodliwego kodu, ale ujawnione z jej pomocą informacje o systemie mogą posłużyć do ominięcia zabezpieczeń podczas kolejnych ataków. Poprawka jest przeznaczona dla wszystkich wersji Windowsa.

(szczegółowe informacje)

Czytaj także: Nie daj się cyberprzestępcom, zainstaluj listopadowe aktualizacje Microsoftu


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Listy
Listy  
« Sierpień 2019»
PoWtŚrCzwPtSbNd
 1234
567891011
12131415161718
19202122232425
262728293031