Biuletyny krytyczne

Biuletyn MS12-071

Pierwszy z wydanych w tym miesiącu biuletynów usuwa trzy luki w przeglądarce Internet Explorer 9. W przypadku systemów Windows Vista i Windows 7 aktualizacja ma status krytyczny, w odniesieniu do wersji serwerowych (2008 i 2008 R2) - ważny. Likwidowane luki pozwalają na zdalne wykonanie kodu w wyniku wizyty na specjalnie spreparowanej stronie internetowej. Co ciekawe, luki te nie występują w starszych wersjach IE ani też w działającej na Windowsie 8 „dziesiątce”.

Przy okazji - użytkownicy systemów Windows 7 i Windows Server 2008 R2 mogą już pobrać ze strony Microsoftu przeglądarkę Internet Explorer 10 w wersji Release Preview (także po polsku).

(szczegółowe informacje)

Biuletyn MS12-072

Kolejny biuletyn oznaczony jako krytyczny likwiduje dwie luki związane z Eksploratorem Windows. Do zdalnego wykonania kodu może dojść podczas przeglądania specjalnie spreparowanego folderu - atakujący może wówczas uzyskać takie same uprawnienia, jak aktualnie zalogowany użytkownik. Stąd prosty wniosek, że osoby, które pracują z uprawnieniami administratora, ponoszą większe ryzyko niż te, które mają niewielkie uprawnienia w systemie. Błędy występują we wszystkich wersjach Windowsa, również w niedawno wydanym Windowsie 8 i nowej wersji serwerowej, rozprowadzanej jako Windows Server 2012.

(szczegółowe informacje)

Biuletyn MS12-074

Następny biuletyn krytyczny usuwa pięć luk w w zabezpieczeniach programu .NET Framework. Najpoważniejsze z nich umożliwiają zdalne wykonanie kodu, jeżeli atakujący przekona użytkownika do skorzystania z podsuniętego mu pliku do automatycznej konfiguracji serwerów proxy. Aktualizację - bez względu na wersję używanego systemu - powinni zainstalować użytkownicy oprogramowania .NET Framework 1.0, 1.1, 2.0, 3.5, 3.5.1, 4 oraz 4.5 (tak, Windows 8 i Windows Server 2012 też są podatne na te luki).

(szczegółowe informacje)

Biuletyn MS12-075

Ten z kolei biuletyn dostarcza poprawki usuwające trzy luki w zabezpieczeniach sterowników trybu jądra w systemach Microsoftu. Najpoważniejsze z nich mogą umożliwić zdalne wykonanie kodu, jeśli użytkownik odwiedzi specjalnie spreparowaną stronę, na której osadzono czcionki TrueType. Problem występuje we wszystkich wersjach Windowsa, również w systemach Windows 8 i Windows Server 2012.

Niektóre serwisy branżowe - na wieść o poprawkach dla nowo wydanych wersji systemu - zaczęły poddawać w wątpliwość profesjonalizm producenta, który kilkanaście dni po debiucie umyślił załatać w nim to i owo. Moim zdaniem takie posunięcie zasługuje na pochwałę. Jako informatyk zdaję sobie sprawę z tego, że nie da się stworzyć oprogramowania wolnego od błędów (chyba że mówimy o naprawdę prostych aplikacjach). Testy też wszystkich nie wykażą. Część luk może zostać ujawniona dopiero podczas użytkowania danego programu lub systemu. To dobrze, że Microsoft nie zamiótł problemów pod dywan w obawie przed blamażem, tylko postanowił je usunąć. Popatrzcie zresztą na twórców Linuksa, którzy non stop pracują nad jego ulepszeniem, nie przejmując się terminami wydawania poprawek...

(szczegółowe informacje)

Biuletyny ważne

Biuletyn MS12-076

Jedyny w tym miesiącu biuletyn ważny usuwa cztery luki w pakiecie Microsoft Office, a konkretnie w arkuszu kalkulacyjnym Excel. Umożliwiają one zdalne wykonanie kodu, gdy użytkownik otworzy specjalnie spreparowany plik programu Excel - atakujący uzyska wówczas takie same uprawnienia, jak on. Aktualizację powinny zainstalować użytkownicy następujących wersji pakietu Office: 2003, 2007 i 2010 dla systemu Windows, a także 2008 i 2011 dla Maków.

(szczegółowe informacje)

Biuletyny średnio ważne

Biuletyn MS12-073

Ostatni z omawianych biuletynów likwiduje dwa błędy w oprogramowaniu Internet Information Services (IIS). Poważniejsza z nich pozwala na tzw. ujawnienie informacji po wysłaniu do serwera odpowiedniego polecenia FTP. Błędy występują w IIS 7.0 i 7.5 zainstalowanych w systemach Windows Vista, Windows Server 2008, Windows 7 oraz Windows Server 2008 R2.

(szczegółowe informacje)

Zobacz także biuletyny bezpieczeństwa z poprzedniego miesiąca