Za kilka miesięcy - 8 kwietnia 2014 r. - Microsoft zakończy świadczenie pomocy technicznej dla 12-letniego już systemu Windows XP. Po tym terminie nie będą dla niego udostępniane nowe poprawki zabezpieczeń. Już teraz producent nie śpieszy się zresztą z łataniem groźnych luk w przestarzałym (choć wciąż popularnym) systemie.

W tym miesiącu, jak informuje Paul Ducklin z firmy Sophos, Microsoft nie usunął podatności w sterowniku trybu jądra NDProxy.sys powiązanym z Telephony API. Umożliwia ona uruchomienie złośliwego kodu przy użyciu specjalnie spreparowanego pliku PDF, co może skutkować przejęciem kontroli nad systemem. Można temu zaradzić, przekierowując usługę NDProxy na null.sys (zob. poradę Microsoftu), trzeba się jednak liczyć z dotkliwymi skutkami ubocznymi.

Miejmy nadzieję, że luka ta zostanie załatana za miesiąc, a teraz przyjrzyjmy się grudniowym biuletynom zabezpieczeń.

Biuletyny krytyczne

Biuletyn MS13-096

Jest to bez wątpienia najważniejsza z wydanych w tym miesiącu aktualizacji. Usuwa ona wykrytą w listopadzie lukę, która pozwala na zdalne wykonanie kodu za pomocą specjalnie spreparowanego pliku TIFF i jest już aktywnie wykorzystywana przez cyberprzestępców. Poprawkę powinni zainstalować użytkownicy systemów Windows Vista i Windows Server 2008, a także oprogramowania Microsoft Office 2003, 2007 i 2010, Microsoft Lync 2010 i 2013, Microsoft Office Compatibility Pack oraz przeglądarek dokumentów, takich jak Word Viewer, Excel Viewer itp.

(szczegółowe informacje)

Biuletyn MS13-097

Następny z biuletynów krytycznych dostarcza zbiorczą aktualizację dla Internet Explorera, która usuwa 7 luk. Najpoważniejsze z nich mogą pozwolić na zdalne wykonanie kodu, jeśli potencjalna ofiara odwiedzi specjalnie spreparowaną stronę. Atakujący może wówczas uzyskać takie same uprawnienia, jak zalogowany użytkownik. Błędy występują we wszystkich wersjach IE, także tych najnowszych. Aktualizację należy zainstalować, nawet jeżeli na co dzień nie używamy przeglądarki Microsoftu, zdarza się bowiem, że inne - potrzebne nam - oprogramowanie wykorzystuje komponenty Internet Explorera.

(szczegółowe informacje)

Biuletyn MS13-098

Kolejny biuletyn usuwa lukę wykorzystywaną już podczas ataków ukierunkowanych, umożliwiającą zdalne wykonanie kodu przy użyciu odpowiednio podpisanego pliku PE (z ang. Portable Executable). Na ataki podatni są użytkownicy wszystkich wersji systemu Windows, poprawki nie należy więc bagatelizować.

(szczegółowe informacje)

Biuletyn MS13-099

Ten z kolei biuletyn dotyczy biblioteki obiektów Microsoft Scripting Runtime i usuwa lukę pozwalającą na zdalne wykonanie kodu, jeśli użytkownik odwiedzi specjalnie spreparowaną stronę internetową. Osoby, których konta zostały skonfigurowane tak, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż te, które pracują z uprawnieniami administracyjnymi. Błąd występuje we wszystkich wersjach Windowsa.

(szczegółowe informacje)

Biuletyn MS13-105

Ostatni z grudniowych biuletynów krytycznych likwiduje 4 luki w oprogramowaniu Microsoft Exchange Server (znajdują się one m.in. w funkcji zapobiegania utracie danych). Najpoważniejsze z nich pozwalają na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany e-mail. Aktualizację powinni zainstalować użytkownicy następujących wersji Exchange Servera: 2007, 2010 i 2013.

(szczegółowe informacje)

Biuletyny ważne

Biuletyn MS13-100

Następny biuletyn, oznaczony jako ważny, likwiduje błąd w oprogramowaniu Microsoft SharePoint Server 2010 i 2013, podatne na atak jest też najnowsza wersja Microsoft Office Web Apps. Luka umożliwia zdalne wykonanie kodu w kontekście konta usługi W3WP, jeśli osoba atakująca wyśle specjalnie spreparowaną zawartość na podatny serwer.

(szczegółowe informacje)

Biuletyn MS13-101

Kolejna aktualizacja usuwa 5 luk w zabezpieczeniach sterowników trybu jądra systemu Windows. Najpoważniejsza z nich pozwala na podniesienie uprawnień, jeśli osoba atakująca zaloguje się do zagrożonego systemu i uruchomi specjalnie spreparowaną aplikację. Na atak narażeni są użytkownicy wszystkich wersji Windowsa.

(szczegółowe informacje)

Biuletyn MS13-102

Ten biuletyn chroni przed wykorzystaniem luki w kliencie LRPC (ang. Lightweight Remote Procedure Call). Umożliwia ona podniesienie uprawnień, jeśli komputer odbierze specjalnie spreparowane żądanie LPC. Atakujący będzie mógł wówczas instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami. Aktualizacja jest przeznaczona dla systemów Windows XP i Windows Server 2003.

(szczegółowe informacje)

Biuletyn MS13-103

Kolejny biuletyn likwiduje lukę, która umożliwia podniesienie uprawnień i występuje w pakiecie SignalR dla ASP.NET (podatne wersje to 1.1.x oraz 2.0.x). Poprawkę powinni zainstalować także użytkownicy oprogramowania Microsoft Visual Studio Team Foundation Server 2013.

(szczegółowe informacje)

Biuletyn MS13-104

Na uwagę zasługuje również aktualizacja zabezpieczeń pakietu Microsoft Office, która usuwa lukę dającą przestępcy dostęp do przechowywanych w chmurze zasobów użytkownika, jeśli ten nieopatrznie otworzy dokument umieszczony na złośliwej stronie internetowej. Według Microsoftu stworzenie exploita wykorzystującego tę lukę nie jest łatwe, ale odnotowano już niejeden tego typu atak. W poprawkę powinni zaopatrzyć się użytkownicy najnowszej wersji Office'a (2013 i 2013 RT).

(szczegółowe informacje)

Biuletyn MS13-106

Ostatni z grudniowych biuletynów usuwa lukę w zabezpieczeniach współdzielonych komponentów pakietu Microsoft Office. Jest ona już aktywnie wykorzystywana i pozwala atakującemu ominąć mechanizm ASLR (ang. Address Space Layout Randomization), jeśli użytkownik wyświetli za pomocą Internet Explorera specjalnie spreparowaną stronę internetową. Aktualizację powinni zainstalować użytkownicy programów Microsoft Office 2007 i 2010.

(szczegółowe informacje)

Zobacz także biuletyny bezpieczeństwa z poprzedniego miesiąca i przeczytaj o ważnej aktualizacji systemu, która nie istnieje, czyli o socjotechnicznych trickach stosowanych przez twórców CryptoLockera.