Microsoft zamyka luki w IE oraz te związane ze Stuxnetem

Zgodnie z zapowiedzią Microsoft opublikował 17 aktualizacji eliminujących 40 usterek bezpieczeństwa.

Microsoft zamyka luki w IE oraz te związane ze Stuxnetem
Źródło zdjęć: © Microsoft
1

Problemy

Na szczególną uwagę zasługują trzy poprawki. Zbiorcza łata MS10-090 dla Internet Explorera zamyka sześć luk, między innymi znaną od kilku tygodni i wykorzystywaną usterkę dotyczącą przetwarzania spreparowanych kaskadowych arkuszy stylów (CSS).

W miniony weekend zgłoszono jednak nową lukę w Internet Explorerze związaną z obsługą znaczników importu w CSS, którą najprawdopodobniej także daje się wykorzystać do infekowania komputerów z Windows. Opublikowany exploit powoduje wprawdzie tylko zawieszenie pracy przeglądarki, aczkolwiek francuska firma z branży zabezpieczeń VUPEN oraz Secunia ostrzegają w wydanych komunikatach opisujących błąd, że pozwala on także na przemycenie i uruchomienie kodu z zewnątrz. Microsoft jest w trakcie badania problemu.

Druga krytyczna aktualizacja MS10-091 zamyka trzy nieznane dotychczas luki w sterowniku czcionek ekranowych OTF (OpenType Font). Również one mogą zostać wykorzystane w wyniku odwiedzenia zainfekowanych stron WWW. Co ciekawe, według listy znalazców błędów opublikowanej przez Microsoft dwie usterki wykrył i zgłosił Marc Schoenefeld z ekipy Red Hat Security Response Team.

Po dłuższym okresie oczekiwania poprawka MS10-092 usuwa wreszcie usterkę w planiście zadań Windows, którą robak Stuxnet wykorzystywał do rozszerzania uprawnień. Powinno to oznaczać zamknięcie w Oknach wszystkich czterech luk zidentyfikowanych dotąd w związku ze Stuxnetem.

W przypadku pozostałych 1. załatanych luk, między innymi w komponentach Media Encoder, Movie Maker, Office dla Windows i Książce adresowej Windows, chodzi w większości także o błędy dające się wykorzystać do zdyskredytowania systemu. Niemniej jednak konieczne jest tu ręczne otwarcie spreparowanego pliku przez użytkownika. Ponadto dwie poprawki uszczelniają słabe punkty w serwerach SharePoint i Exchange.

Rozwiązanie

Instalacja poprawek eliminuje opisywane problemy. Zestawienie wszystkich aktualizacji znajdziemy w dokumencie "Podsumowanie biuletynów zabezpieczeń firmy Microsoft za grudzień 2010 r.".

wydanie internetowe www.heise-online.pl

1

Wybrane dla Ciebie

"Wyjątkowe, ale też ryzykowne". Ukraińcy o użyciu S-200
"Wyjątkowe, ale też ryzykowne". Ukraińcy o użyciu S-200
NASA ujawnia datę końca życia na Ziemi. Wyliczył to superkomputer
NASA ujawnia datę końca życia na Ziemi. Wyliczył to superkomputer
Rosja bez kluczowych zasobów. Ekspert mówi, że tak źle nie było
Rosja bez kluczowych zasobów. Ekspert mówi, że tak źle nie było
Odwrócili się od Ukrainy. Ich broń i tak trafia na front
Odwrócili się od Ukrainy. Ich broń i tak trafia na front
"Realna siła odstraszania". Wojsko pokazuje, co potrafią K2
"Realna siła odstraszania". Wojsko pokazuje, co potrafią K2
Agencja ONZ: Rosja winna śmierci 298 osób. Zestrzeliła pasażerski samolot
Agencja ONZ: Rosja winna śmierci 298 osób. Zestrzeliła pasażerski samolot
Kolejna dostawa dla wojska. Niebawem wejdą na uzbrojenie
Kolejna dostawa dla wojska. Niebawem wejdą na uzbrojenie
Zaskakująco cienka skorupa Wenus. Nowe odkrycia naukowców
Zaskakująco cienka skorupa Wenus. Nowe odkrycia naukowców
Rosja pręży muskuły. Ekspert mówi o uderzeniu Oriesznikiem
Rosja pręży muskuły. Ekspert mówi o uderzeniu Oriesznikiem
Fizycy dokonali niemożliwego. Udało im się zamienić ołów w złoto
Fizycy dokonali niemożliwego. Udało im się zamienić ołów w złoto
Nowa dostawa Su-35S. Rosja wyprodukowała więcej, niż straciła nad Ukrainą
Nowa dostawa Su-35S. Rosja wyprodukowała więcej, niż straciła nad Ukrainą
Polski zakład rozkręca produkcję amunicji. Jako jedyny produkuje pociski do Krabów
Polski zakład rozkręca produkcję amunicji. Jako jedyny produkuje pociski do Krabów