Wiadomości
25 dziur do załatania w Windows, MS Office i Exchange
9 kwietnia 2010 12:39,
securitystandard
Microsoft oficjalnie zapowiedział, że w najbliższy wtorek udostępni 11 uaktualnień dla swoich produktów - w sumie będą one usuwały z różnych aplikacji i systemów operacyjnych koncernu aż 25 różnych błędów.
"Szykuje się kolejne wielkie uaktualnienie. Ale tak naprawdę oczekiwaliśmy czegoś takiego - spodziewaliśmy co najmniej dwucyfrowej liczby poprawek i luk" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security i ceniony specjalista ds. bezpieczeństwa. Dodajmy, że przed miesiącem Microsoft udostępnił tylko dwa uaktualnienia (usuwające sześć błędów), zaś w lutym poprawek było 13 (a błędów - aż 26).
"Dobra wiadomość jest taka, że Microsoft wreszcie załata dwie stare dziury" - mówi Storms, odnosząc się w ten sposób do deklaracji Jerry'ego Bryanta z Microsoftu, który przy okazji podawania liczby planowanych poprawek zapowiedział, że koncern załata m.in. dwie luki znane od listopada 2009 r. i marca 2010.
Problem z F1 wreszcie rozwiązany?
Ta druga z nich dotyczy Windows XP oraz pewnego problemu z językiem VBScript i plikami pomocy (rozszerzenie .hlp) - polski specjalista Maurycy Prodeus dowiódł, że jeśli przestępcy uda się skłonić użytkownika do wciśnięcia w odpowiednim momencie klawisza F1, to możliwe będzie wprowadzenie do systemu złośliwego kodu i przejęcie kontroli nad maszyną.
Luka wykryta w ubiegłym roku znajduje się w protokole sieciowym SMB (Server Message Block), wykorzystywanym m.in. do udostępniania plików i drukarek. Problem ten dotyczy również systemu Windows 7 - co więcej, była to pierwsza wykryta w tym OS-ie luka typu "zero-day".
Pięć miesięcy czekania na łatę
"Z załataniem tego błędu zwlekali nadspodziewanie długo [blisko pięć miesięcy - red]. Moim zdaniem podczas analiz na jaw wyszło, że dotyczy on znacznie większej części kodu, niż mogłoby się wydawać. Niewykluczone też, że Microsoft nie spieszył się z łataniem, bo nie odnotowano żadnych prób wykorzystania owej luki do atakowania użytkowników" - zastanawia się Andrew Storms.
Z 11 zapowiedzianych przez koncern poprawek najbardziej interesujące są te oznaczone numerami 1 i 2 - przede wszystkim dlatego, że obie będą miały status uaktualnienia krytycznego i że obie przeznaczone będą dla wszystkich obsługiwanych przez Microsoft wersji Windows (od Windows 2000, po 7 i Server 2008 R2).
W sumie aż pięć poprawek oznaczono jako krytyczne, kolejne pięć to uaktualnienia "ważne", zaś jedno jest "umiarkowanie ważne". Użytkownicy Windows 7 - najnowszego OS-u Microsoftu - będą musieli zainstalować cztery z nich (co ciekawe, wśród nich znajdzie się poprawka rozwiązujące problem z F1 - wcześniej koncern informował, że "siódemki" on nie dotyczy).
W pakiecie znajdą się również poprawki dla MS Publishera (programu do tworzenia publikacji, wchodzącego w skład niektórych wersji MS Office) oraz dla popularnego serwera pocztowego MS Exchange. Ta ostatnia może być szczególnie uciążliwa dla użytkowników korporacyjnych - "Z takimi uaktualnieniami zawsze są problemy. Administratorzy muszą się zastanowić, co będzie ważniejsze w przypadku ich firmy - szybkie zaktualizowanie serwera, czy raczej zapewnienie użytkownikom stałego dostępu do poczty elektronicznej. To nie jest proste zadanie - bezpieczeństwo oczywiście jest krytyczna kwestią, ale ryzyka związane z zakłóceniem komunikacji też są poważne" - tłumaczy Storms.
Patcha dla IE nie będzie
Wydaje się, że w kwietniowym pakiecie poprawek wciąż nie znajdzie się łata usuwająca wykrytą na początku lutego dziurę w zabezpieczeniach przeglądarki Internet Explorer (Microsoft tłumaczy, że na razie na atak narażone są wyłącznie maszyny, w których nie jest aktywny tzw. Protected Mode).
Jerry Bryant z koncernu z Redmond przypomniał przy okazji, że w najbliższym czasie Microsoft oficjalnie zakończy świadczenie wsparcia technicznego dla niektórych swoich produktów - chodzi to m.in. o Windows Vista RTM (bez zainstalowanego SP1 lub SP2), Windows XP SP2 oraz Windows 2000.
Najnowszy pakiet poprawek dla produktów Microsoftu zostanie udostępnione w najbliższy wtorek (późnym popołudniem). Więcej informacji znaleźć można na stronie koncernu.
"Dobra wiadomość jest taka, że Microsoft wreszcie załata dwie stare dziury" - mówi Storms, odnosząc się w ten sposób do deklaracji Jerry'ego Bryanta z Microsoftu, który przy okazji podawania liczby planowanych poprawek zapowiedział, że koncern załata m.in. dwie luki znane od listopada 2009 r. i marca 2010.
Problem z F1 wreszcie rozwiązany?
Ta druga z nich dotyczy Windows XP oraz pewnego problemu z językiem VBScript i plikami pomocy (rozszerzenie .hlp) - polski specjalista Maurycy Prodeus dowiódł, że jeśli przestępcy uda się skłonić użytkownika do wciśnięcia w odpowiednim momencie klawisza F1, to możliwe będzie wprowadzenie do systemu złośliwego kodu i przejęcie kontroli nad maszyną.
Luka wykryta w ubiegłym roku znajduje się w protokole sieciowym SMB (Server Message Block), wykorzystywanym m.in. do udostępniania plików i drukarek. Problem ten dotyczy również systemu Windows 7 - co więcej, była to pierwsza wykryta w tym OS-ie luka typu "zero-day".
Pięć miesięcy czekania na łatę
"Z załataniem tego błędu zwlekali nadspodziewanie długo [blisko pięć miesięcy - red]. Moim zdaniem podczas analiz na jaw wyszło, że dotyczy on znacznie większej części kodu, niż mogłoby się wydawać. Niewykluczone też, że Microsoft nie spieszył się z łataniem, bo nie odnotowano żadnych prób wykorzystania owej luki do atakowania użytkowników" - zastanawia się Andrew Storms.
Z 11 zapowiedzianych przez koncern poprawek najbardziej interesujące są te oznaczone numerami 1 i 2 - przede wszystkim dlatego, że obie będą miały status uaktualnienia krytycznego i że obie przeznaczone będą dla wszystkich obsługiwanych przez Microsoft wersji Windows (od Windows 2000, po 7 i Server 2008 R2).
W sumie aż pięć poprawek oznaczono jako krytyczne, kolejne pięć to uaktualnienia "ważne", zaś jedno jest "umiarkowanie ważne". Użytkownicy Windows 7 - najnowszego OS-u Microsoftu - będą musieli zainstalować cztery z nich (co ciekawe, wśród nich znajdzie się poprawka rozwiązujące problem z F1 - wcześniej koncern informował, że "siódemki" on nie dotyczy).
W pakiecie znajdą się również poprawki dla MS Publishera (programu do tworzenia publikacji, wchodzącego w skład niektórych wersji MS Office) oraz dla popularnego serwera pocztowego MS Exchange. Ta ostatnia może być szczególnie uciążliwa dla użytkowników korporacyjnych - "Z takimi uaktualnieniami zawsze są problemy. Administratorzy muszą się zastanowić, co będzie ważniejsze w przypadku ich firmy - szybkie zaktualizowanie serwera, czy raczej zapewnienie użytkownikom stałego dostępu do poczty elektronicznej. To nie jest proste zadanie - bezpieczeństwo oczywiście jest krytyczna kwestią, ale ryzyka związane z zakłóceniem komunikacji też są poważne" - tłumaczy Storms.
Patcha dla IE nie będzie
Wydaje się, że w kwietniowym pakiecie poprawek wciąż nie znajdzie się łata usuwająca wykrytą na początku lutego dziurę w zabezpieczeniach przeglądarki Internet Explorer (Microsoft tłumaczy, że na razie na atak narażone są wyłącznie maszyny, w których nie jest aktywny tzw. Protected Mode).
Jerry Bryant z koncernu z Redmond przypomniał przy okazji, że w najbliższym czasie Microsoft oficjalnie zakończy świadczenie wsparcia technicznego dla niektórych swoich produktów - chodzi to m.in. o Windows Vista RTM (bez zainstalowanego SP1 lub SP2), Windows XP SP2 oraz Windows 2000.
Najnowszy pakiet poprawek dla produktów Microsoftu zostanie udostępnione w najbliższy wtorek (późnym popołudniem). Więcej informacji znaleźć można na stronie koncernu.
Oryginalny tekst został opublikowany na www.securitystandard.pl
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Serwery "zombie" w centrum danych
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...