Microsoft: wielkie uaktualnianie
- Daniel Cieślak,
- 12.12.2007, godz. 10:29
Luki w multimediach
Zadaniem ostatniej krytycznej poprawki jest usunięcie niebezpiecznego błędu z formatu plików Windows Media File. Pozwala on na stworzenie "złośliwego" pliku multimedialnego, którego otwarcie w systemie Windows spowoduje nieautoryzowane uruchomienie niebezpiecznego kodu (plik taki może zostać dostarczony do użytkownika np. e-mailem lub być osadzony na stronie WWW). Na atak narażeni są użytkownicy Windows 2000, Server 2003 oraz XP. Więcej informacji: biuletyn MS07-068.
Dziura typu "Vista only"
Kolejne cztery uaktualnienia mają niższy status - Microsoft uznał je za ważne. Pierwsze z nich - opisane w biuletynie MS07-063 - jest szczególnie interesujące, ponieważ dotyczy jedynie systemu Vista. Jest to poprawka dla modułu odpowiedzialnego za obsługę protokołu Server Message Block Version 2 (SMBv2) - nowej technologii, która pojawiła się w następcy Windows XP (jej zadaniem jest umożliwienie bezpiecznej komunikacji pomiędzy komputerami). Luka pozwala na zdalne uruchomienie w komputerze niebezpiecznego kodu - ale tylko w bardzo specyficznych warunkach (dlatego też poprawki nie uznano za krytyczną). "Dość niepokojący jest fakt, że to "nowa" dziura - tzn. że znaleziono ją w kodzie, który tworzony jest według nowych zasad bezpiecznego programowania, wdrożonych przez Microsoft" - mówi Eric Schultze.
Na nieautoryzowane uruchomienie kodu pozwala również kolejny "ważny" błąd (MS07-065) - znaleziony w module odpowiedzialnym za kolejkowanie wiadomości w Windows XP oraz 2000. Microsoft zastrzega jednak, że również w tym przypadku wykorzystanie go do ataku na komputer jest dość trudne i do firmy nie dotarły żadne sygnały o takich próbach. Ostatnie dwa błędy - opisane w biuletynach MS07-066 i MS07-067 - pozwalają na nieautoryzowane zwiększenie przywilejów użytkownika. Pierwszy dotyczy kernela Windows, zaś drugi - dostarczanego wraz z Oknami oprogramowania antypirackiego firmy Macrovision.
W sumie Microsoft udostępnił w ramach grudniowego pakietu poprawek 7 uaktualnień usuwających łącznie 11 różnych błędów w zabezpieczeniach produktów koncernu. 3 poprawki uznane zostały za krytyczne, zaś 4 - za ważne. Sugerowanym przez koncern z Redmond sposobem pobrania i zainstalowania uaktualnień jest skorzystanie z mechanizmu Microsoft Update.