Lutowe łatanie Microsoftu: cztery ważne aktualizacje
Microsoft opublikował dwie krytyczne i dwie poważne aktualizacje bezpieczeństwa dotyczące luk w Internet Explorerze, Exchange, bazie SQL Server oraz aplikacji Visio z pakietu MS Office.
Microsoft opublikował dwie krytyczne i dwie poważne aktualizacje bezpieczeństwa dotyczące luk w Internet Explorerze, Exchange, bazie SQL Server oraz aplikacji Visio z pakietu MS Office.
Dla Internet Explorera została przygotowana aktualizacja zbiorcza, która powinna załatać dwie krytyczne luki obecne w tej przeglądarce. Obydwie dotyczą błędów w zarządzaniu pamięcią, które według producenta mogą być łatwo użyte w celu przemycenia kodu i wykonania go z prawami zalogowanego użytkownika (MS09-002).
Również serwer poczty i groupware Exchange wykazuje dwie luki, spośród których jednak tylko jedna jest zaklasyfikowana jako krytyczna –. dotyczy ona przetwarzania danych w formacie TNEF (Transport Neutral Encapsulation Format). Drugi błąd, występujący podczas przetwarzania specjalnych rozkazów MAPI, powoduje jedynie, że serwer Exchange przestaje być osiągalny (MS09-003).
Ujawniona już w grudniu luka w zabezpieczeniach systemu bazodanowego MS SQL Server jest zaklasyfikowana tylko jako poważna, mimo że również umożliwia przemycanie i wykonywanie kodu. Atakujący musi jednak być w stanie zalogować się do bazy danych lub przemycić rozkazy za pośrednictwem ataku typu SQL Injection. Microsoft został poinformowany o tym problemie już w kwietniu 200. roku (MS09-004).
Czwarta ze wspomnianych aktualizacji naprawia trzy błędy w zarządzaniu pamięcią wchodzącego w składu MS Office programu Visio. Fakt zaklasyfikowania aktualizacji tylko jako poważnej wynika z tego, że aby luki mogły być wykorzystane, użytkownik musi ręcznie otworzyć dokumenty Visio (MS09-005).
Spośród opisanych wyżej błędów przynajmniej luki w Internet Explorerze należy uznać za bardzo niebezpieczne; prawdopodobnie wkrótce będą one wykorzystywane do infekowania komputerów użytkowników odwiedzających strony internetowe. Naprawiająca je aktualizacja powinna tym samym otrzymać najwyższy priorytet. Ponieważ jednak pozostałe luki umożliwiają przemycanie kodu, również w ich przypadku nie powinno się zwlekać z zainstalowaniem aktualizacji.
wydanie internetowe www.heise-online.pl
