Wielkie łatanie pakietu MS Office

10-11-2010, 11:36

W listopadzie gigant z Redmond skupił swą uwagę na licznych dziurach w pakiecie biurowym Microsoft Office. Udostępnione wczoraj aktualizacje zamykają w sumie 7 luk w tym oprogramowaniu. Jedna z poprawek łata też 4 błędy w serwerze Forefront UAG. Nadal niezamknięta pozostaje poważna dziura w Internet Explorerze, choć w sieci pojawił się już wykorzystujący ją exploit.

BIULETYN KRYTYCZNY

Biuletyn MS10-087

Jedyny w tym miesiącu biuletyn krytyczny usuwa pięć luk w oprogramowaniu Microsoft Office. Wszystkie pozwalają na zdalne wykonanie kodu. Najpoważniejszą można wykorzystać, jeśli użytkownik otworzy specjalnie spreparowaną wiadomość e-mail w formacie RTF lub wyświetli jej podgląd. Cyberprzestępca uzyska wówczas takie same uprawnienia, jak użytkownik lokalny. Na atak podatne są wersje XP, 2003, 2007 oraz najnowsza 2010 w przypadku Windows, a także wersje 2004, 2008 i 2011 dla Maków.

(szczegółowe informacje)

BIULETYNY WAŻNE

Biuletyn MS10-088

Również ten biuletyn dotyczy pakietu MS Office, a konkretnie programu Microsoft PowerPoint w wersjach 2002 i 2003 dla Windows oraz 2004 dla Maków. Podatny na atak jest również Microsoft PowerPoint Viewer 2007. Obie łatane dziury pozwalają na zdalne wykonanie kodu, jeśli przestępcy uda się zachęcić użytkownika do otworzenia specjalnie spreparowanego pliku.

(szczegółowe informacje)

Biuletyn MS10-089

Ostatni z wydanych w listopadzie biuletynów dotyczy oprogramowania Forefront Unified Access Gateway 2010 i łata cztery luki - jedna z nich umożliwia spoofing (sfałszowanie źródłowego adresu IP w wysyłanym przez komputer pakiecie sieciowym), reszta pozwala na podniesienie uprawnień w wyniku ataku XSS (ang. cross-site scripting).

(szczegółowe informacje)

>> Czytaj także: Microsoft ustanowił tegoroczny rekord w łataniu

Dziwić może fakt, że gigant z Redmond nie zdecydował się załatać w tym cyklu poprawek dziury w Internet Explorerze, o której informowaliśmy w DI na początku miesiąca. Błąd występuje w mechanizmie przetwarzania kaskadowych arkuszy stylów (CSS). Microsoft zdążył już potwierdzić, że na atak podatne są wszystkie stabilne wersje tej przeglądarki - od 6 do 8, udostępnił nawet tymczasowe zabezpieczenie typu Fix it, ale z poprawką się nie spieszy.

Tymczasem w sieci został upubliczniony exploit wykorzystujący omawianą lukę. Potencjalny napastnik może z jego pomocą otworzyć tzw. tylną furtkę, co z kolei pozwoli mu przejąć kontrolę nad systemem bądź zarazić go szkodliwym oprogramowaniem. Aby do tego nie doszło, Microsoft zaleca uaktywnienie modułu Data Execution Prevention (DEP).

>> Czytaj także: Microsoft Security Essentials trafił do Windows Update. Co na to konkurencja?


Źródło: Microsoft, Dziennik Internautów
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy