Microsoft zamyka luki w IE oraz te związane ze Stuxnetem

Strona głównaMicrosoft zamyka luki w IE oraz te związane ze Stuxnetem
15.12.2010 14:58
Microsoft zamyka luki w IE oraz te związane ze Stuxnetem
Źródło zdjęć: © Microsoft

Zgodnie z zapowiedzią Microsoft opublikował 17 aktualizacji eliminujących 40 usterek bezpieczeństwa.

Problemy

Na szczególną uwagę zasługują trzy poprawki. Zbiorcza łata MS10-090 dla Internet Explorera zamyka sześć luk, między innymi znaną od kilku tygodni i wykorzystywaną usterkę dotyczącą przetwarzania spreparowanych kaskadowych arkuszy stylów (CSS).

W miniony weekend zgłoszono jednak nową lukę w Internet Explorerze związaną z obsługą znaczników importu w CSS, którą najprawdopodobniej także daje się wykorzystać do infekowania komputerów z Windows. Opublikowany exploit powoduje wprawdzie tylko zawieszenie pracy przeglądarki, aczkolwiek francuska firma z branży zabezpieczeń VUPEN oraz Secunia ostrzegają w wydanych komunikatach opisujących błąd, że pozwala on także na przemycenie i uruchomienie kodu z zewnątrz. Microsoft jest w trakcie badania problemu.

Druga krytyczna aktualizacja MS10-091 zamyka trzy nieznane dotychczas luki w sterowniku czcionek ekranowych OTF (OpenType Font). Również one mogą zostać wykorzystane w wyniku odwiedzenia zainfekowanych stron WWW. Co ciekawe, według listy znalazców błędów opublikowanej przez Microsoft dwie usterki wykrył i zgłosił Marc Schoenefeld z ekipy Red Hat Security Response Team.

Po dłuższym okresie oczekiwania poprawka MS10-092 usuwa wreszcie usterkę w planiście zadań Windows, którą robak Stuxnet wykorzystywał do rozszerzania uprawnień. Powinno to oznaczać zamknięcie w Oknach wszystkich czterech luk zidentyfikowanych dotąd w związku ze Stuxnetem.

W przypadku pozostałych 1. załatanych luk, między innymi w komponentach Media Encoder, Movie Maker, Office dla Windows i Książce adresowej Windows, chodzi w większości także o błędy dające się wykorzystać do zdyskredytowania systemu. Niemniej jednak konieczne jest tu ręczne otwarcie spreparowanego pliku przez użytkownika. Ponadto dwie poprawki uszczelniają słabe punkty w serwerach SharePoint i Exchange.

Rozwiązanie

Instalacja poprawek eliminuje opisywane problemy. Zestawienie wszystkich aktualizacji znajdziemy w dokumencie "Podsumowanie biuletynów zabezpieczeń firmy Microsoft za grudzień 2010 r.".

wydanie internetowe www.heise-online.pl

Udostępnij:
Wybrane dla Ciebie
Komentarze (1)