Łatki programowe, które miały uszczelniać lukę w Remote Access Service niektórych wersji Windows, zawierają błędy mogące uniemożliwiać wykonywanie połączeń VPN.

Łatki zostały udostępnione w połowie czerwca br. i miały wyeliminować usterkę w książce telefonicznej RAS - standardowej składowej systemów Windows NT 4.0, Windows 2000 i Windows XP. W pierwszym tygodniu lipca firma wydała poprawioną wersję łatki, zalecając tym, którzy zastosowali pierwsza łatkę, użycie również nowej. Łatka pierwsza została usunięta z serwisu Windows Update 1 lipca br.

Zobacz również:

• Najnowsza aktualizacja Windows wpływa na działanie VPN
• KE zamierza oskarżyć kolejny raz Microsoft o złamanie ustawy antymonopolowej
• ChromeOS i biznes - takie połączenie ma coraz więcej sensu

RAS jest używana do połączeń realizowanych za pośrednictwem komutowanej sieci telefonicznej (dial-up). Niektóre wersje książki telefonicznej RAS (używanej do przechowywania informacji o połączeniach z systemami odległymi) zawierają usterkę związaną z efektem przepełnienia bufora. Może ona być wykorzystana do przejęcia kontroli nad komputerem przez osobę niepowołaną.

Aby przeprowadzić taki atak, napastnik musi najpierw zmienić ustawienia RAS w zaatakowanym systemie zanim połączy się z systemem za pośrednictwem RAS. Jeżeli ustawienia systemowe nie dopuszczają dostępu użytkownika, ryzyko nie istnieje.

Pierwsza łatka eliminowała tę usterkę, ale zawierała także błąd, którego efektem mogło być wymaganie uprawnień administratora do nawiązywania połączeń VPN.