W styczniu Microsoft udostępnił tylko 7 biuletynów bezpieczeństwa likwidujących głównie luki w systemie Windows, w protokołach SSL 3.0 i TLS 1.0, a także w bibliotece AntiXSS ułatwiającej życie programistom aplikacji w języku ASP.NET (jej zadaniem - jak wskazuje nazwa - jest uodpornienie takich aplikacji na ataki typu cross-site scripting, czyli XSS).
reklama
Biuletyn MS12-004
Jedyna aktualizacja krytyczna wydana w tym miesiącu usuwa dwie luki w zabezpieczeniach formatu Windows Media, które umożliwiają zdalne wykonanie kodu, jeśli ofiara otworzy specjalnie spreparowany plik multimedialny. Osoba atakująca może wówczas uzyskać takie same uprawnienia jak użytkownik lokalny - z tego względu użytkownicy, których konta zostały skonfigurowane tak, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi. Problem występuje we wszystkich wspieranych przez korporację wersjach systemu Windows.
Biuletyn MS12-001
Pierwszy z tegorocznych biuletynów bezpieczeństwa usuwa lukę w jądrze systemu Windows, która może pozwolić na obejście funkcji zabezpieczeń SafeSEH w aplikacji skompilowanej przy użyciu oprogramowania Microsoft Visual C++ .NET 2003. Osoba atakująca może następnie użyć innych luk, aby wykorzystać strukturalną procedurę obsługi wyjątków do uruchomienia dowolnego kodu. Poprawkę powinni zainstalować użytkownicy wszystkich wersji Windowsa.
Biuletyn MS12-002
Ten z kolei biuletyn likwiduje lukę w programie pakowarka obiektów systemu Windows, która umożliwia zdalne wykonanie kodu, gdy użytkownik otworzy prawidłowy plik z osadzonym spakowanym obiektem, który znajduje się w tym samym katalogu sieciowym, co specjalnie spreparowany plik wykonywalny. Napastnik uzyska wtedy takie same uprawnienia, jak zalogowany użytkownik, i będzie mógł instalować programy, przeglądać, zmieniać i usuwać dane oraz tworzyć nowe konta z pełnymi uprawnieniami. Aktualizacją powinni zainteresować się użytkownicy systemów Windows XP oraz Windows Server 2003.
Biuletyn MS12-003
Następny z biuletynów oznaczonych jako ważne usuwa lukę w zabezpieczeniach podsystemu wykonawczego serwera/klienta w systemie Windows. Umożliwia ona podniesienie uprawnień, jeśli osoba atakująca zaloguje się do zagrożonego systemu i uruchomi specjalnie spreparowaną aplikację. Pocieszające jest to, że błąd ten można wykorzystać wyłącznie w systemach z chińskimi, japońskimi lub koreańskimi ustawieniami regionalnymi. Aktualizacja przeznaczona jest dla systemów Windows XP, Windows Server 2003, Windows Vista i Windows Server 2008.
Biuletyn MS12-005
Kolejna aktualizacja dotyczy luki w zabezpieczeniach, która może pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik pakietu Microsoft Office zawierający złośliwą osadzoną aplikację ClickOnce. Cyberprzestępca, któremu uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny. W poprawkę powinni się zaopatrzyć użytkownicy wszystkich wersji Windowsa.
Biuletyn MS12-006
Wraz z tym biuletynem dostarczana jest poprawka usuwająca lukę w zabezpieczeniach protokołów SSL 3.0 i TLS 1.0. Może ona pozwolić na ujawnienie informacji, jeśli osoba atakująca przechwyci zaszyfrowany ruch przesyłany z systemu podlegającego luce. Co istotne, błąd nie dotyczy protokołów TLS 1.1, TLS 1.2 ani żadnych pakietów szyfrów, w których nie jest wykorzystywany tryb CBC. Aktualizację powinni zainstalować użytkownicy wszystkich wersji Windowsa.
Biuletyn MS12-007
Ostatni ze styczniowych biuletynów likwiduje lukę w zabezpieczeniach biblioteki AntiXSS (Microsoft Anti-Cross Site Scripting) w wersjach 3.x i 4.0 firmy Microsoft. Luka ta umożliwia ujawnienie informacji, jeżeli osoba atakująca przekaże do witryny WWW złośliwy skrypt za pomocą funkcji oczyszczania biblioteki AntiXSS. Konsekwencje ujawnienia informacji zależą od ich charakteru.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|