Majowe biuletyny Microsoft także dla najnowszych produktów
Firma Microsoft udostępniła majowe biuletyny zabezpieczeń. Do pobrania jest siedem aktualizacji o znaczeniu krytycznym. Usuwają one m. in poważne usterki w Microsoft Exchange oraz w usłudze Windows DNS Server. Są również łatki dla najnowszych produktów Microsoftu, takich jak Internet Explorer 7 i Office 2007.
W sumie majowe biuletyny bezpieczeństwa łatają 19 luk w różnych programach Microsoftu. Wszystkie są krytyczne, a więc wszystkie łatane przez nie luki mogą być wykorzystane do zdalnego ataku nie wymagającego interakcji z użytkownikiem, lub wymagającego tylko minimalnej interakcji.
Eksperci zwracają szczególną uwagę na biuletyn MS07-026 odnoszący się do usterek w Microsoft Exchange. Gdyby cyberprzestępcom udało się stworzyć eksploit wykorzystujący łatane przez ten biuletyn luki, to instalacja złośliwego oprogramowania na serwerze wymagałaby jedynie wysłania do niego odpowiednio spreparowanego e-maila. Trudno byłoby zablokować taki atak, a jego skutki dla firm mogłyby być bardzo poważne.
Na uwagę zasługuje również biuletyn MS07-029 odnoszący się do znanej już wcześniej luki w usłudze DNS Server, która pozwala na wykonywanie nieautoryzowanego kodu. Można ją wykorzystać wysyłając specjalnie spreparowany pakiet RPC do systemu zawierającego usterkę. Na atak podatne są systemy Windows 2000 Server SP4, Windows Server 2003 SP1 oraz Windows Server 2003 SP2. Luka ta jest już wykorzystywana przez cyberprzestępców i dlatego usunięcie jej jest tak ważne.
W majowych biuletynach zabezpieczeń po raz pierwszy znajduje się tak wiele łatek dla nowych produktów Microsoftu. Wydana wczoraj skumulowana poprawka zabezpieczeń dla przeglądarki Internet Explorer (MS07-027) zawiera łatki, które dotyczą również najnowszego IE7. Biuletyn MS07-025 usuwa poprawki w różnych wersjach pakietu Office, w tym również w Office 2007. Również biuletyn MS07-023 (poprawki dla Microsoft Excel) skierowany jest m. in. do użytkowników najnowszego pakietu biurowego. Wspomniana poprawka dla Exchange dotyczy również Exchange 2007.
Amol Sarwate z firmy Qualys stwierdził w wypowiedzi dla CNET, że jest to dowód na to, iż wspomniane produkty wcale nie były tak bezpieczne w czasie wypuszczenia na rynek, jak zapewniał o tym Microsoft. Jeśli krytycznych luk znajdzie się w nich więcej, a firma z Redmond będzie nadal uparcie trzymała się harmonogramu udostępniania łatek, to niebawem - zdaniem eksperta - nowe oprogramowanie może okazać się tak samo niebezpieczne jak stare.
Poza wymienionymi aktualizacjami pozostają jeszcze dwie. Biuletyn MS07-028 odnosi się do usterki w CAPICOM i może pozwolić na zdalne przejęcie kontroli nad komputerem. Aktualizacje powinni pobrać użytkownicy BizTalk Server 2004 SP1 i SP2. Z kolei biuletyn MS07-024 dotyczy usterek w Microsoft Word i jest adresowany do użytkowników pakietu biurowego MS Office 2000 SP3, XP SP3, 2003 SP2 oraz 2004 for Mac. Użytkownicy Office 2007 nie muszą pobierać tej aktualizacji.