W październiku Microsoft opublikował 13 biuletynów bezpieczeństwa usuwających 34 luki. 8 poprawek oznaczono jako krytyczne, pozostałym 5 nadano status ważnych. Gigant z Redmond pobił tym samym swój czerwcowy rekord, kiedy to załatał 31 dziur, wydając 10 biuletynów.
Biuletyn MS09-050
Specjalistów ds. bezpieczeństwa powinno ucieszyć załatanie odkrytej w ubiegłym miesiącu luki w protokole SMB2, który umożliwia udostępnianie plików i drukarek. Dziennik Internautów informował o pojawieniu się w sieci exploita wykorzystującego nieprawidłowe przetwarzanie nagłówków dla jednej z funkcji, co mogło skutkować albo zawieszeniem systemu, albo zdalnym wykonaniem kodu. Luka zagraża użytkownikom systemów Windows Vista i Windows Server 2008. Finalna wersja Windows 7 nie jest podatna na atak, błąd występuje jednak w wydaniu Release Candidate.
Biuletyn MS09-051
Ten z kolei biuletyn rozwiązuje problemy z Windows Media Runtime w systemach Windows 2000, XP, Server 2003, Vista i Server 2008. Do skutecznego ataku wystarczy, jeśli użytkownik otworzy specjalnie spreparowany plik multimedialny - może to spowodować zdalne wykonanie kodu. Ostatnie łaty Microsoftu ponownie wskazują na ryzyko korzystania z internetu bez odpowiedniej ochrony - komentuje Dave Marcus, dyrektor ds. badań nad bezpieczeństwem w McAfee Labs.
Biuletyn MS09-052
Tą poprawką powinni zainteresować się użytkownicy starego już Windows Media Playera 6.4 działającego w systemach Windows 2000, XP oraz Server 2003. Skuteczny atak z wykorzystaniem tej luki pozwala cyberprzestępcy na uzyskanie takich samych uprawnień, jak zalogowany użytkownik. Największe ryzyko ponoszą więc użytkownicy, którzy pracują na kontach z uprawnieniami administracyjnymi.
Biuletyn MS09-054
Zbiorcza aktualizacja dla wszystkich wydań przeglądarki Internet Explorer eliminuje cztery luki bezpieczeństwa, które - podobnie jak wcześniej wymienione - umożliwiają zdalne wykonanie szkodliwego kodu. Na uwagę zasługuje fakt, że poprawka ta dotyczy także Windows 7. Na tydzień przed premierą nowego systemu Microsoft opublikował 5 uwzględniających go biuletynów. Sugeruje to, że po Windows 7 nie należy się spodziewać radykalnej poprawy poziomu bezpieczeństwa - komentują przedstawiciele McAfee.
Biuletyn MS09-055
Kolejna zbiorcza poprawka ma związek z ActiveX i łata dziurę w zabezpieczeniach biblioteki Active Template Library (ATL). Również tym biuletynem powinni zainteresować się użytkownicy Windows 7, na atak podatne są poza tym systemy Windows 2000, XP, Server 2003, Vista oraz Server 2008 (także w wersji R2).
Biuletyn MS09-060
Oddzielną aktualizację, usuwającą trzy błędy we wspomnianej wyżej bibliotece ATL, Microsoft przygotował dla użytkowników Outlooka w wersjach 2002, 2003 i 2007. Usterki występują także w oprogramowaniu Visio 2002 Viewer, Office Visio 2003 Viewer i Office Visio Viewer 2007. Dwie z łatanych dziur umożliwiają zdalne wykonanie kodu, jedna może zostać wykorzystana do ujawnienia informacji.
Biuletyn MS09-061
Przedostatni biuletyn o statusie krytycznym eliminuje trzy błędy w komponencie Microsoft .NET Common Language, który można znaleźć w oprogramowaniu .NET Framework działającym w środowisku Windows (wszystkie wspierane edycje systemu). Zagrożeni są także użytkownicy Silverlight 2 w systemach Mac, co można łatwo naprawić, aktualizując aplikację do wersji 3.
Biuletyn MS09-062
Na szczególną uwagę zasługuje ostatni z wydanych w tym miesiącu biuletynów krytycznych, łata on bowiem aż 8 dziur w Graphics Device Interface odpowiedzialnym za przetwarzanie plików graficznych oraz przesyłanie ich do urządzeń wyjściowych, takich jak monitory i drukarki. Microsoft musiał wielokrotnie usuwać problemy związane z Windows GDI+, a luki i podatności w tym komponencie były często wykorzystywane do ataków. Należy spodziewać się, że wczorajsze łaty zostaną dokładnie zbadane, co może doprowadzić do powstania nowych exploitów - uważa Dave Marcus z McAfee Labs.
Biuletyn MS09-053
Biuletyn, który usuwa ujawnioną w ubiegłym miesiącu lukę w usłudze FTP popularnego oprogramowania serwerowego Internet Information Services, programiści z Redmond oznaczyli jako ważny. Na uwagę zasługuje fakt, że w internecie pojawił się już exploit wykorzystujący ten błąd w celu zdalnego wykonania kodu. Na atak podatne są wersje IIS 5.0 (Windows 2000), IIS 5.1 (Windows XP), IIS 6.0 (Windows Server 2003) oraz FTP Service 6.0 używany w IIS 7.0 (Windows Vista i Windows Server 2008).
Biuletyn MS09-056
Kolejna z aktualizacji dotyczy komponentu CryptoAPI. W przypadku tej biblioteki szyfrowania, wykorzystywanej przez wiele programów wchodzących w skład Windows, cyberprzestępca może podstawić spreparowane certyfikaty SSL dla obcych domen w celu przejęcia lub zmanipulowania chronionego w ten sposób transferu danych sieciowych (ang. spoofing). Na atak podatne są wszystkie wersje systemu Microsoftu łącznie z Windows 7.
Biuletyn MS09-057
Ten z kolei biuletyn usuwa lukę w usłudze indeksowania, która pozwala na zdalne wykonanie kodu, jak większość łatanych w tym miesiącu błędów. Ze względu na to, że problem występuje jedynie w starszych wersjach systemu - Windows 2000, XP oraz Server 2003, nadano mu status ważnego.
Biuletyn MS09-058
Przedostatni z biuletynów oznaczonych jako ważne poświęcony jest możliwości podniesienia uprawnień w środowisku Windows 2000, XP, Server 2003, Vista oraz Server 2008. Łatane usterki występują w jądrze systemu.
Biuletyn MS09-059
Luka usuwana przez tę aktualizację umożliwia przeprowadzenie ataku typu odmowa usługi (ang. Denial of Service) we wszystkich wydaniach systemu Windows oprócz najstarszego z dotychczas wspieranych, czyli Windows 2000. Zagrożeni są m.in. użytkownicy Windows 7.
Microsoft ustanowił nowe rekordy w dziedzinie poprawek bezpieczeństwa. Jak zwykle, instalowanie łat będzie szczególnie kłopotliwe w dużych firmach. Potrzebują one solidnej strategii zarządzania ryzykiem, która pozwoli im we właściwy sposób testować i priorytetyzować łaty w celu odparcia potencjalnych ataków - komentuje przedstawiciel McAfee. Dziennik Internautów doradza wszystkim użytkownikom systemu Windows instalację opisanych wyżej aktualizacji. Następne biuletyny bezpieczeństwa ukażą się 10 listopada.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|