Z okazji grudniowego dnia łatek Microsoft przygotował dla swoich klientów trzy krytyczne i trzy ważne aktualizacje. Najważniejsza jest bez wątpliwości zbiorowa łata dla Internet Explorera, która ma naprawiać znaną od kilku tygodni lukę w zabezpieczeniach
Problemy
Przypisany do poprawki dla IE biuletyn bezpieczeństwa MS09-07. ostrzega przed czterema lukami w przeglądarce. Wspomniane tam błędy zostały zgłoszone bezpośrednio Microsoftowi. Według oceny zespołu Security Team dla wszystkich tych luk wkrótce pojawią się sprawne exploity. Trzy z nich dotyczą także Internet Explorera dla systemu Windows 7 i mogą sprawić poważne kłopoty – szkodliwa witryna dzięki nim jest w stanie zainfekować komputer. Szczególnie przykre jest to, że po raz kolejny łatana musi być luka, która jest związana z błędem w Active Template Library.
W usłudze internetowego uwierzytelnienia Microsoftu (IAS) - według MS09-7. - zostały wykryte dwie luki. Problem nie ogranicza się przy tym do wersji Server, ponieważ wydaje się, że również kod kliencki do nawiązywania połączenia uwierzytelnianego za pomocą MS-CHAP2 jest narażony na występowanie tej usterki. Tym niemniej specjaliści z Redmond zauważają, że sam system Windows nie wykonuje tego kodu na maszynach klienckich - albo przynajmniej nie w taki sposób, żeby luka ta dawała się wykorzystać. Usterka staje się niebezpieczna dopiero w połączeniu z oprogramowaniem innych firm.
Z kolei MS09-07. opisuje trzecią krytyczną lukę w zabezpieczeniach w Microsoft Office Project, którą można wykorzystać przez specjalnie uformowane pliki Project. Potencjalny napastnik może utworzyć stronę internetową skonstruowaną w taki sposób, że odwiedziny na niej doprowadzą do otwarcia szkodliwego pliku przez aplikację.
Wspomniana wyżej sytuacja nie zdarza się w przypadku kolejnej usterki, dotyczącej dokumentów w formacie Word 97. Polega ona na tym, że odpowiednio spreparowane dokumenty mogą sprowokować wystąpienie błędu w konwerterze Wordpada i Office'a. Tutaj wymagana jest zgoda użytkownika na przeprowadzenie konwersji i w wyniku tego usterka opisana w MS09-73 nie otrzymała najwyższego stopnia w klasyfikacji zagrożenia. Mimo to za jej pomocą napastnik również może przejąć pełną kontrolę nad komputerem.
Dwa błędy w Active Directory Federation Services (ADFS) opisane w MS09-7. dotyczą jedynie serwerów działających w sieci. Ostatni patch wydany wraz z biuletynem MS09-69 naprawia błąd, który prowadzi do tego, że napastnik korzystający z IPSec może unieruchomić usługę LSASS systemu serwerowego Windows.
Rozwiązanie
Instalacja przygotowanych przez producenta poprawek eliminuje opisywane problemy.
