Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Wielkiego zdziwienia nie było, już we czwartek na jednym z Microsoftowych blogów pojawiła się zapowiedź styczniowych biuletynów bezpieczeństwa - jednego krytycznego i jednego ważnego - usuwających nienagłośnione luki w systemie Windows (mimo to w sieci pojawiły się już wykorzystujące je exploity). Błąd w silniku renderowania grafiki i problem z przetwarzaniem kaskadowych arkuszy stylów w Internet Explorerze, nie mówiąc już o całym szeregu dziur wykrytych w tej przeglądarce przez Michała "lcamtufa" Zalewskiego, pozostały niezałatane.

BIULETYNY KRYTYCZNE

Biuletyn MS11-002

Udostępniona wraz z tym biuletynem łatka usuwa dwa błędy w zabezpieczeniach Microsoft Data Access Components (MDAC), które umożliwiają zdalne wykonanie kodu, jeśli atakujący nakłoni użytkownika do odwiedzin na specjalnie spreparowanej stronie WWW. Biuletyn ma status "krytyczny" dla wszystkich wersji systemu Windows XP, Windows Vista, Windows 7 oraz "ważny" w przypadku Windows Server 2003, Windows Server 2008, Windows Server 2008 R2.

(szczegółowe informacje)

BIULETYNY WAŻNE

Biuletyn MS11-001

Luka łatana przez tę aktualizację pozwala na zdalne wykonanie kodu, gdy osoba atakująca przekona użytkownika do otwarcia prawidłowego pliku programu Windows Backup Manager, który znajduje się w tym samym katalogu sieciowym, co specjalnie spreparowany plik biblioteki DLL. Aby atak się powiódł, atakowany musi odwiedzić niezaufaną zdalną lokalizację systemu plików lub udział WebDAV. Błąd występuje we wszystkich wersjach systemu Windows Vista.

(szczegółowe informacje)

Czego Microsoft nie załatał

Programiści giganta z Redmond nie przygotowali dotąd poprawki, która wyeliminowałaby błąd w mechanizmie Graphics Rendering Engine. Mówiono o nim już w połowie grudnia ub.r. podczas konferencji w Korei Południowej. Microsoft jego występowanie potwierdził dopiero w ubiegłym tygodniu. Zaraz po tym, jak exploit umożliwiający jego wykorzystanie stał się publicznie dostępny.

Problem z przetwarzaniem kaskadowych arkuszy stylów (CSS) w Internet Explorerze też znany jest od około miesiąca. Informacje o nim pojawiły się zaraz po załataniu podobnej dziury w przeglądarce Microsoftu. Tak samo, jak w przypadku luki w silniku renderowania grafiki, moduł pozwalający na jego wykorzystanie został już dodany do Metasploita - pakietu narzędzi służących do testowania zabezpieczeń.

Najbardziej dziwi brak poprawek usuwających podatności odkryte przez polskiego specjalistę Michała "lcamtufa" Zalewskiego przy użyciu narzędzia cross_fuzz. Zalewski poinformował o nich koncern w lipcu (!) 2010 r. Programiści Microsoftu przez kilka miesięcy nie mogli rzekomo odtworzyć zgłoszonych błędów, nie opublikowali też żadnego dotyczącego ich ostrzeżenia. Kiedy można oczekiwać załatania tych dziur, nie wiadomo.

>> Czytaj więcej: Czy Microsoft przyspieszy łatanie Internet Explorera?


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *