Siedem biuletynów od Microsoftu

[KopalniaWiedzy.pl 352]

Microsoft opublikował grudniowy zestaw poprawek w ramach Patch Tuesday. W jego skład wchodzi siedem biuletynów bezpieczeństwa, w tym trzy krytyczne.

Krytyczny biuletyn MS14-080 łata 14 dziur w Internet Explorerze. Krytyczne dziury występują w wersjach od 7 do 11 dla wystemów Vista, Windows 7 oraz Windows 8 i 8.1. Dla IE 6, 7 i 8 pracujących pod kontrolą systemów Server 2003 oraz Server 2008 dziury te określono jako umiarkowane. Wszystkie dziury zostały zgłoszone bezpośrednio Microsoftowi, niewykluczone zatem, że cyberprzestępcy o nich nie wiedzieli. Jednak udostępnienie poprawek oznacza, że mogą oni wykonać inżynierię wsteczną łat, zdobyć informacje o dziurach i szybko przygotować szkodliwy kod.

W ramach biuletynu MS14-081 poprawiono dwa błędy w MS Word i MS Office Web Apps. Dziury występują w programach Word 2007 SP3, Word 2010 SP2, Word 2013, Word 2013 RT, Word 2011 dla Maków, Microsoft Office Compatibility Pack oraz MS Word Viewer. Menedżer firmy Qualys, Wolfgang Kandek mówi, że „te luki są szczególnie interesujące. Microsoft uznał je za krytyczne, czego zwykle nie czyni w przypadku dziur dotyczących plików. Uznanie ich za krytyczne oznacza, że szkodliwy kod może zostać uruchomiony bez udziału użytkownika, co zdarza się dość rzadko, przeważnie wówczas, gdy przestępcy uda się spowodować, by Outlook uruchomił automatyczny podgląd pliku”.

Ostatni z krytycznych biuletynów – MS14-084 – poprawia dziurę w silniku VBScript w systemie Windows. Jak informuje Microsoft „napastnik, który wykorzystał tę dziurę może uzyskać takie same uprawnienia, jak obecnie zalogowany użytkownik. Jeśli użytkownik ten ma uprawnienia administracyjne, napastnik może przejąć kontrolę nad systemem. Może instalować programy, przeglądać, dodawać i usuwać dane oraz tworzyć konta użytkowników z pełnym dostępem”.

Pozostałe cztery biuletyny, określone jako ważne, poprawiają dziury pozwalające na zwiększenie uprawnień użytkownika w Exchange Server 2007, 2010 i 2013 oraz umożliwiające kradzież informacji za pomocą odpowiednio spreparowanego pliku JPEG. Błędy występują też w MS Office.

« powrót do artykułu