Microsoft: 'krytyczne' uaktualnienia dla Windows i IE

Zgodnie z wcześniejszymi zapowiedziami, Microsoft udostępnił kolejny pakiet uaktualnień, usuwających błędy z produktów koncernu. Tym razem "łatek" jest 10 - wśród nich znalazły się patche, usuwające 3 "krytyczne" błędy w systemie Windows oraz przeglądarce Internet Explorer. Oznaczenie ich mianem "krytycznych" oznacza, że wymagają natychmiastowego załatania, ponieważ umożliwiają nieautoryzowanym użytkownikom przejęcie pełnej kontroli nad zaatakowanym systemem bez żadnej akcji ze strony użytkownika.

Microsoft: 'krytyczne' uaktualnienia dla Windows i IE
Błąd w przeglądarce Internet Explorer umożliwia zaatakowanie komputera poprzez odpowiednio spreparowany plik PNG (Portable Network Graphics) - teoretycznie więc do przeprowadzenia skutecznego ataku wystarczy, by użytkownik wszedł na stronę WWW, na której umieszczona będzie grafika w formacie PNG. Podobny błąd znaleziono również w systemie pomocy Windows HTML oraz w protokole SMB (server message block).

Wszystkie wersje Windows narażone

"Błędy te mogą być wykorzystane do stworzenia mechanizmu automatycznego ataku, który z kolei może zostać zastosowany np. przez twórców wirusów czy robaków" - mówi Stephen Toulouse z MS Security Response Center. Przedstawiciel koncernu zaznaczył również, że powyższe luki w zabezpieczeniach występują we wszystkich wersjach Windows.

Wszystkie trzy krytyczne błędy nie były wcześniej znane - dlatego też jak do tej pory koncern nie zanotował żadnych prób ataku z ich wykorzystaniem (jak mówią przedstawiciele firmy, dotyczy to wszystkich 10 załatanych właśnie "dziur").

Wśród udostępnionych wczoraj uaktualnień znalazły się również łatki na "umiarkowanie groźne" błędy w Web Client Service, Outlook Web Access for Exchange Server 5.5, programu pocztowego Outlook Express oraz Windows Interactive Training oraz "ważne" uaktualnienia dla Microsoft Agent, klienta Telnet oraz ISA Server 2000.

Ponowna premiera "łatek"

Wraz z nowymi uaktualnieniami, koncern udostępnił wczoraj poprawione patche dla modułu odpowiedzialnego za obsługę protokołu TCP/IP, SQL Server oraz ASP .Net (opisane w biuletynach MS05-019, MS02-035 oraz MS05-004). Jak tłumaczą przedstawiciele firmy, przygotowane pierwotnie "łatki" powodowały problemy w systemie (m.in. uniemożliwiały uruchamianie niektórych aplikacji).

Okiem eksperta

"Microsoft określił błąd w MS Agent jako "ważne", jednak moim zdaniem problem jest znacznie bardziej istotny. Luka w zabezpieczeniach MA umożliwia nieautoryzowanym użytkownikom wysyłanie komunikatów do użytkowników systemu [wyświetlanych w podobny sposób, jak komunikaty Asystenta pakietu Office - czyli popularnego Spinacza - red]. "Napastnik" może to wykorzystać do oszukania mniej doświadczonych użytkowników i skłonienia ich np. do uruchomienia "złośliwego" oprogramowania czy podania haseł dostępu do banku " - tłumaczy Russ Cooper z firmy Cybertrust, jeden z redaktorów legendarnej listy dyskusyjnej NTBugtraq.

Przedstawiciele Microsoftu tłumaczą, że błąd w MS Agent uznano za "ważny", ponieważ aplikacja ta nie jest standardowo włączona w systemie i bezpośrednio nie umożliwia przejęcia kontroli nad systemem (a tylko takie błędy określane są mianem "krytyczny").

Wszystkie opisane powyżej uaktualnienia można pobrać za pośrednictwem mechanizmu Microsoft Update.