Microsoft udostępnia poprawki - poważna dziura wciąż niezałatana

Kwietniowy pakiet aktualizacji i łat dla produktów Microsoftu jest raczej niewielki - składa się z zaledwie 9 biuletynów, w sumie usuwających 15 luk z oprogramowania koncernu. W porównaniu z poprzednimi miesiącami to niewiele, ale warto odnotować, że wbrew oczekiwaniom nie pojawiła się poprawką na wykryty w marcu groźny błąd w Internet Explorerze.

W tym miesiącu administratorzy systemów Microsoftu mogę nieco odetchnąć - mają do przetestowania i zainstalowania zdecydowanie mniej aktualizacji niż marcu (kiedy to załatano 20 dziur) czy rekordowym lutym (57 błędów). "Trafił nam się spokojny, wręcz nudny miesiąc - to doskonała wiadomość dla specjalistów IT, bo nie będą musieli pracować w obłędzie" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle.

Dwa z udostępnionych właśnie biuletynów bezpieczeństwa Microsoft uznał za krytyczne, co oznacza, że usuwają one błędy, które mogą posłużyć do zaatakowania komputera bez żadnej akcji ze strony użytkownika. Pozostałe biuletyny oznaczono jako "ważne" - wśród załatanych produktów koncern wymienia Windows (zarówno wersję deskopową, jak i serwerową), przeglądarkę Internet Explorer, aplikacje z rodziny Microsoft Office, Microsoft SharePoint oraz Windows Defendera.

Zobacz również:

Specjaliści ds. bezpieczeństwa oczywiście zalecają użytkownikom zainstalowanie wszystkich poprawek - jednak w pierwszej kolejności radzą zainteresować się aktualizacjami usuwającymi krytyczne luki z Internet Explorera (opisanymi w biuletynie MS13-028). Sprawa jest o tyle poważna, że na atak podatne są wszystkie popularne wersje tej przeglądarki, od IE 6 do 10. "Jesteśmy przekonani, że to tymi lukami w pierwszej kolejności zainteresują się przestępcy, dlatego te poprawki powinny zostać zainstalowane jak najszybciej" - tłumaczy Marc Maiffret, CTO firmy BeyondTrust.

Druga krytyczna poprawka (opisana w biuletynie MS13-029) przeznaczona jest dla klienta Microsoft Remote Desktop - usuwa ona lukę znalezioną w wykorzystywanej przez tę aplikację kontrolce ActiveX (aczkolwiek w tym przypadki ryzyko jest nieco mniejsze, ponieważ problem nie dotyczy najnowszej - i najpopularniejszej - wersji RD).

Największym zaskoczeniem jest brak w kwietniowym pakiecie poprawek łatki usuwającej błąd w IE, który został ujawniony podczas marcowego konkursu hakerskiego Pwn2Own. Jeden z jego uczestników zdołał włamać się do Windows przez nieznaną wcześniej lukę w przeglądarce Microsoftu - większość specjalistów sądziła, że Microsoft już w kwietniu udostępni stosowną aktualizację. Google oraz Mozilla - których przeglądarki również zostały "pokonane" podczas imprezy - zdążyły już zaktualizować swoje produkty, jednak wszystko wskazuje na to, że w przypadku Microsoftu przyjdzie nam na to jeszcze poczekać.


TOP 200