W październiku gigant z Redmond opublikował 7 biuletynów zabezpieczeń, w tym tylko jeden o znaczeniu krytycznym, który dotyczy pakietu Microsoft Office.
reklama
Biuletyn MS12-064
Jedyny z wydanych w tym miesiącu biuletynów krytycznych dotyczy dwóch podatności w pakiecie Microsoft Office, a konkretnie w edytorze tekstu Word - błędy znaleziono w wersjach 2007 i 2010. Poważniejszy z nich (CVE-2012-2528) umożliwia zdalne wykonanie kodu, gdy użytkownik otworzy specjalnie spreparowany plik RTF. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak zalogowany użytkownik.
Biuletyn MS12-065
Następny biuletyn, oznaczony jako ważny, usuwa lukę w pakiecie Microsoft Works 9. Umożliwia ona zdalne wykonanie kodu w wyniku przepełnienia sterty, ma jednak niższy priorytet ze względu na poziom trudności stworzenia niezawodnego exploita. Aby wykorzystać ten błąd osoba atakująca musi zachęcić użytkownika do otwarcia specjalnie przygotowanego pliku Worda za pomocą pakietu Works.
Biuletyn MS12-066
Ten z kolei biuletyn usuwa lukę pozwalającą na podniesienie poziomu uprawnień pod warunkiem, że atakujący wyśle specjalnie spreparowane dane do użytkownika. Błąd występuje w oprogramowaniu: Microsoft Office (InfoPath 2007 i 2010), Microsoft Communications Platforms (Communicator 2007 R2 oraz Lync 2010), Microsoft Office Web Apps 2010, Microsoft Server (w tym SharePoint Server 2007 i 2010, SharePoint Foundation 2010, SharePoint Services 3.0 oraz Groove Server 2010).
Biuletyn MS12-067
Z tym biuletynem dostarczana jest aktualizacja, która usuwa 13 luk w oprogramowaniu Microsoft FAST Search Server 2010 for SharePoint. Umożliwiają one zdalne wykonanie kodu. Producent zapewnia, że zagrożenie występuje tylko wtedy, gdy włączona jest funkcja Advanced Filter Pack (standardowo jest ona wyłączona). Według zespołu Internet Storm Center w sieci krążą już exploity wykorzystujące te luki.
Biuletyn MS12-068
Kolejny z październikowych biuletynów dotyczy podatności w jądrze wszystkich wydań Windowsa z wyjątkiem systemów Windows 8 i Windows Server 2012. Luka umożliwia podniesienie poziomu uprawnień pod warunkiem, że osoba atakująca zaloguje się lokalnie do systemu ofiary i uruchomi w nim specjalnie spreparowaną aplikację.
Biuletyn MS12-069
Następny biuletyn dotyczy podatności w zabezpieczeniach systemu Microsoft Windows. Luka umożliwia wykonanie ataku typu odmowa usługi (czyli DoS) pod warunkiem, że osoba atakująca wyśle specjalnie spreparowane żądanie rozpoczęcia sesji do serwera Kerberos. Błąd występuje w systemach Windows 7 i Windows Server 2008 R2.
Biuletyn MS12-070
Ostatni z opublikowanych w tym miesiącu biuletynów usuwa lukę w oprogramowaniu Microsoft SQL Server w systemach, w których uruchomiona jest usługa SQL Server Reporting Services (SSRS) - na błąd podatne są wersje 2000, 2005, 2008, 2008 R2 i 2012. Luka umożliwia podniesienie poziomu uprawnień w wyniku ataku cross-site scripting (XSS). W tym celu osoba atakująca musi wysłać specjalnie spreparowany link do użytkownika i przekonać go do kliknięcia. Możliwe jest również umieszczenie skryptu wykorzystującego tę lukę na stronie WWW.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Nowy MS Office gotowy do wejścia na rynek. Będzie chmurowy, mobilny, społecznościowy
|
|
|
|
|
|