Microsoft łata dziury, ale nie te najgroźniejsze
Anna Wasilewska-Śpioch 12-01-2011, 11:21
Wielkiego zdziwienia nie było, już we czwartek na jednym z Microsoftowych blogów pojawiła się zapowiedź styczniowych biuletynów bezpieczeństwa - jednego krytycznego i jednego ważnego - usuwających nienagłośnione luki w systemie Windows (mimo to w sieci pojawiły się już wykorzystujące je exploity). Błąd w silniku renderowania grafiki i problem z przetwarzaniem kaskadowych arkuszy stylów w Internet Explorerze, nie mówiąc już o całym szeregu dziur wykrytych w tej przeglądarce przez Michała "lcamtufa" Zalewskiego, pozostały niezałatane.
BIULETYNY KRYTYCZNE
Biuletyn MS11-002
Udostępniona wraz z tym biuletynem łatka usuwa dwa błędy w zabezpieczeniach Microsoft Data Access Components (MDAC), które umożliwiają zdalne wykonanie kodu, jeśli atakujący nakłoni użytkownika do odwiedzin na specjalnie spreparowanej stronie WWW. Biuletyn ma status "krytyczny" dla wszystkich wersji systemu Windows XP, Windows Vista, Windows 7 oraz "ważny" w przypadku Windows Server 2003, Windows Server 2008, Windows Server 2008 R2.
BIULETYNY WAŻNE
Biuletyn MS11-001
Luka łatana przez tę aktualizację pozwala na zdalne wykonanie kodu, gdy osoba atakująca przekona użytkownika do otwarcia prawidłowego pliku programu Windows Backup Manager, który znajduje się w tym samym katalogu sieciowym, co specjalnie spreparowany plik biblioteki DLL. Aby atak się powiódł, atakowany musi odwiedzić niezaufaną zdalną lokalizację systemu plików lub udział WebDAV. Błąd występuje we wszystkich wersjach systemu Windows Vista.
Czego Microsoft nie załatał
Programiści giganta z Redmond nie przygotowali dotąd poprawki, która wyeliminowałaby błąd w mechanizmie Graphics Rendering Engine. Mówiono o nim już w połowie grudnia ub.r. podczas konferencji w Korei Południowej. Microsoft jego występowanie potwierdził dopiero w ubiegłym tygodniu. Zaraz po tym, jak exploit umożliwiający jego wykorzystanie stał się publicznie dostępny.
Problem z przetwarzaniem kaskadowych arkuszy stylów (CSS) w Internet Explorerze też znany jest od około miesiąca. Informacje o nim pojawiły się zaraz po załataniu podobnej dziury w przeglądarce Microsoftu. Tak samo, jak w przypadku luki w silniku renderowania grafiki, moduł pozwalający na jego wykorzystanie został już dodany do Metasploita - pakietu narzędzi służących do testowania zabezpieczeń.
Najbardziej dziwi brak poprawek usuwających podatności odkryte przez polskiego specjalistę Michała "lcamtufa" Zalewskiego przy użyciu narzędzia cross_fuzz. Zalewski poinformował o nich koncern w lipcu (!) 2010 r. Programiści Microsoftu przez kilka miesięcy nie mogli rzekomo odtworzyć zgłoszonych błędów, nie opublikowali też żadnego dotyczącego ich ostrzeżenia. Kiedy można oczekiwać załatania tych dziur, nie wiadomo.
>> Czytaj więcej: Czy Microsoft przyspieszy łatanie Internet Explorera?
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Ostatnie artykuły:
|
|
|
 |
|
|
|
|
Tematy pokrewne:
Windows Microsoft luki krytyczne luki Internet Explorer biuletyny bezpieczeństwa aktualizacje
Windows Microsoft luki krytyczne luki Internet Explorer biuletyny bezpieczeństwa aktualizacje« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Polecamy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.