Microsoft łata... 20 dziur

Microsoft opublikował 4 nowe "biuletyny bezpieczeństwa", zawierające "łatki" usuwające aż 20 różnych błędów, występujących w produktach koncernu - zarówno systemach operacyjnych, jak i innych kilku wersjach programu Outlook Express i przeglądarki Internet Explorer. Kilka z owych 20 błędów oznaczono jako "krytyczne" - dlatego koncern zaleca użytkownikom jak najszybsze pobranie i zainstalowanie uaktualnień.

Udostępnione właśnie w biuletynach MS04-011, 012, 013 oraz 014 "łaty" usuwają zarówno znane od dawna błędy w oprogramowaniu Microsoftu, jak i zupełnie nowe luki w zabezpieczeniach programów firmy. "Krytyczne" błędy wykryto m.in. w przeglądarce Internet Explorer oraz kilku komponentach systemów z rodziny Windows - m.in. Microsoft SSL oraz Remote Procedure Call (RPC). Błędy dotyczą większości systemów operacyjnych z rodziny Windows (od Windows 98 do Windows Server 2003).

Najgroźniejsze 'dziury'

Najbardziej niebezpieczne błędy wykryto w:

- module Local Security Authority Subsystem Service (LSASS), służącym do autoryzowania użytkownika. Błąd ten umożliwia nieautoryzowanym użytkownikom przejęcie pełnej kontroli nad zaatakowanym komputerem. Na taki atak najbardziej narażeni są użytkownicy systemów Windows 2000 i XP; problem nie występuje w systemach Windows 98 i NT, zaś w przypadku Windows Server 2003 nie jest szczególnie niebezpieczny (tzn. błąd jest niezwykle trudny do wykorzystania).

- protokole Private Communications Transport (PCT) - okazało się, że w pewnych okolicznościah możliwe jest zdalne wywołania tzw. błędu przepełniania bufora, który z kolei umożliwia nieautoryzowanemu użytkownikowi uruchomienie na zaatakowanym systemie dowolnego kodu, a w konsekwencji - przejęcie pełnej kontroli nad nim. Protokół PTC jest elementem Microsoft Secure Sockets Layer - został wspólnie opracowany przez Microsoft i Visę na potrzeby autoryzowania transakcji w Internecie. Błąd w PTC najbardziej niebezpieczny jest w przypadku systemów Windows NT 4.0 i 2000 (oznaczono go jako "krytyczny), mniej - w przypadku Windows XP (stopień zagrożenia to 'ważny') zaś najmniej zagrożony na atak z jego wykorzystaniem jest Windows Server 2003.

Łatanie Outlooka

Mimo, że wszystkich błędów jest aż 20, to jednak właśnie dwa opisane powyżej są, zdaniem ekspertów, najbardziej niebezpieczne - obydwa umożliwiają hakerom uzyskanie pełnego dostępu do zaatakowanej maszyny bez żadnej interakcji ze strony jej użytkownika.

Wśród nowych łatek znalazł się również tzw. "cumulative patch" (biuletyn MS04-013) dla wszystkich wersji klienta pocztowego Outlook Express. Wśród wykrytych w aplikacji błędów znalazły się m.in. luka w zabezpieczeniach, która pozwala na automatyczne uruchomienie zawartości wiadomości pocztowej, bez pytania o zgodę użytkownika (błąd ten może zostać wykorzystany np. przez autorów wirusów).

Eksperci uspokajają

Microsoft zaleca użytkownikom jak najszybsze pobranie i zainstalowanie uaktualnień. Koncernowi wtórują eksperci ds. zabezpieczeń, którzy zwracają uwagę, że nowe błędy w oprogramowaniu Microsoftu mogą posłużyć autorom wirusów do stworzenia nowych, groźnych "insektów". "Nowych błędów jest bardzo dużo, ale na szczęście większość z nich nie była wcześniej znana - a to oznacza, że hakerom co najmniej kilka dni zajmie stworzenie narzędzki, które mogłyby posłużyć do przeprowadzenia ataków z wykorzystaniem nowych luk w zabezpieczeniach produktów Microsoftu". W tym czasie użytkownicy powinni koniecznie uaktualnić swoje systemy - mówi Sam Curry, wiceprezes firmy eTrust Security Solutions.

Zalecanym przez Microsoft sposobem pobrania i zainstalowania uaktualnień jest skorzystanie z mechanizmuhttp://Windowsupdate.microsoft.com . Więcej informacji nt. błędów oraz odnośniki do poszczególnych plików znaleźć można tutaj:

Biuletyn MS04-011 (największy, usuwa z produktów Microsoftu aż 14 błędów):

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Biuletyn MS04-012

http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

Biuletyn MS04-013

http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

Biuletyn MS04-014

http://www.microsoft.com/technet/security/bulletin/MS04-014.mspx