W czerwcu Microsoft opublikował 10 poprawek, które łatają 34 podatności – najwięcej, jak dotąd, w 2010 r. i tyle samo, co w październiku 2009 r., gdy wydano 13 łat usuwających 34 błędy w zabezpieczeniach (był to ówczesny rekord wszech czasów pod względem liczby usuwanych luk). Większość załatanych teraz dziur narażała użytkowników systemu Windows i pakietu MS Office na cyberataki z możliwością przejęcia pełnej kontroli nad komputerem włącznie. Na szczególną uwagę zasługuje aktualizacja Excela usuwająca aż 14 podatności znalezionych w tym oprogramowaniu.
reklama
Biuletyn MS10-033
Pierwsza poprawka, której nadano wskaźnik ważności „krytyczny”, usuwa dwie luki w zabezpieczeniach dekompresowania plików multimedialnych, występujące m.in. w bibliotekach Quartz.dll (DirectShow) i Asycfilt.dll (składnik COM). Pozwalają one na zdalne wykonanie kodu pod warunkiem, że użytkownik otworzy spreparowany plik multimedialny lub odbierze specjalnie przygotowany strumień danych ze strony WWW. Osoba atakująca, której uda się wykorzystać te podatności, uzyska takie same uprawnienia, jak użytkownik lokalny. Na atak narażeni są posiadacze wszystkich wersji systemu Windows.
Biuletyn MS10-034
Następny biuletyn oferuje zbiorczą aktualizację zabezpieczeń funkcji Killbit formantów ActiveX we wszystkich wersjach Windowsa. Łatane luki umożliwiają zdalne wykonanie kodu, jeśli użytkownik wyświetli za pomocą Internet Explorera specjalnie spreparowaną stronę WWW, która uruchomi określony formant ActiveX. Oprócz kompleksowego oprogramowania ochronnego użytkownicy komputerów powinni kierować się zdrowym rozsądkiem i unikać „ciemnych zaułków” internetu. Wskazany jest też pewien namysł przed otwarciem dokumentu lub kliknięciem w odnośnik – nawet jeżeli wydaje się, że pochodzą one od rodziny lub znajomych – komentuje Dave Marcus z McAfee Labs.
Biuletyn MS10-035
Ta z kolei aktualizacja łata sześć luk w zabezpieczeniach wszystkich wersji przeglądarki Internet Explorer. Najpoważniejsze z usuwanych błędów związane są z uszkodzeniem pamięci i pozwalają na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę WWW. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.
Biuletyn MS10-032
Pierwsza z poprawek oznaczonych jako ważne usuwa trzy luki w zabezpieczeniach sterowników trybu jądra systemu Windows. Umożliwiają one podniesienie uprawnień, jeśli użytkownik wyświetli zawartość zawierającą specjalnie spreparowaną czcionkę TrueType. Poprawką powinni zainteresować się użytkownicy wszystkich wersji Windowsa.
Biuletyn MS10-036
Kolejna aktualizacja łata dziurę w zabezpieczeniach procedury sprawdzania poprawności obiektów COM w pakiecie Microsoft Office. Pozwala ona na zdalne wykonanie kodu, jeśli użytkownik otworzy odpowiednio spreparowany plik programu Excel, Word, Visio, Publisher lub PowerPoint. Microsoft zapewnia, że luki tej nie da się wykorzystać automatycznie, poprzez pocztę elektroniczną. Aby atak przeprowadzony w ten sposób powiódł się, użytkownik musi otworzyć załącznik. Poprawka przeznaczona jest dla pakietów MS Office 2003 oraz 2007.
Biuletyn MS10-037
Luka usuwana po zainstalowaniu tej aktualizacji występuje w zabezpieczeniach sterownika OpenType Compact Font Format i umożliwia podniesienie uprawnień, jeśli użytkownik wyświetli zawartość zawierającą specjalnie spreparowaną czcionkę CFF. Z zamieszczonych w biuletynie informacji wynika, że nie jest możliwe wykorzystanie tej dziury w sposób zdalny lub przez użytkowników anonimowych. Na atak podatne są jednak wszystkie wersje systemu Windows.
Biuletyn MS10-038
Wraz z tym biuletynem dostarczana jest aktualizacja usuwająca 14 luk w zabezpieczeniach programu Microsoft Office Excel. Najpoważniejsze z łatanych błędów pozwalają na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany arkusz kalkulacyjny. Cyberprzestępca, któremu uda się wykorzystać jedną z tych podatności, może uzyskać takie same uprawnienia, jak użytkownik lokalny. Poprawkę powinni zainstalować użytkownicy oprogramowania MS Office 2002, 2003 i 2007 dla Windows, a także 2004 i 2008 dla Mac OS X.
Biuletyn MS10-039
Kolejna aktualizacja eliminuje trzy luki w oprogramowaniu Microsoft SharePoint Services 3.0, Microsoft Office InfoPath 2003 i 2007, a także Microsoft Office SharePoint Server 2007. Najpoważniejszy z usuwanych błędów umożliwia podniesienie uprawnień, jeśli osoba atakująca przekona użytkownika atakowanej witryny programu SharePoint do kliknięcia specjalnie spreparowanego łącza.
Biuletyn MS10-040
Ta poprawka łata lukę w zabezpieczeniach programu Internet Information Services (IIS), która pozwala na zdalne wykonanie kodu, jeśli użytkownik otrzyma specjalnie spreparowane żądanie HTTP. Osoba atakująca może w ten sposób przejąć kontrolę nad systemem, którego dotyczy podatność. Na atak narażeni są użytkownicy IIS 6.0, IIS 7.0 oraz IIS 7.5.
Biuletyn MS10-041
Ostatni z wydanych w tym miesiącu biuletynów przynosi poprawkę usuwającą błąd w zabezpieczeniach platformy Microsoft .NET Framework. Umożliwia on naruszenie podpisanej zawartości XML bez wykrycia ataku. Atak nie powiedzie się, jeśli będzie ona przesyłana zabezpieczonym kanałem (np. SSL). Aktualizacja przeznaczona jest dla wszystkich wersji systemu Windows.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|