To, co początkowo wydawało się spokojnym dniem łatek, okazało się być Wielkim Dniem Łat, przede wszystkim dla użytkowników Excela. Zapowiadane sześć pakietów usuwa ogółem 15 luk bezpieczeństwa w oprogramowaniu Microsoft Office i systemach Windows. Wiele z nich sklasyfikowano jako krytyczne i oznaczone wskaźnikiem wykorzystywalności 1, co oznacza, że pojawienie się exploitów dla tych luk jest wysoce prawdopodobne.
Problemy
Już sama tylko nota bezpieczeństwa MS09-06. opisuje 8 problemów z zabezpieczeniami w Excelu. W przypadku trzech luk eksperci uważaja pojawienie się stabilnych exploitów za możliwe. Problemy dotyczą wersji Office XP, 2003, 2007 a także Office'a dla Maców. Przed ich występowaniem nie chroni także stosowanie Excel Viewera, ponieważ on również jest podatny na występowanie błędów. To samo tyczy się luki w Wordzie (MS09-068), w przypadku której także czytnik Viewer jest narazony na jej występowanie. Jak zwykle Microsoft nie zalicza luk w Offisie do najwyższej kategorii zagrożenia, ponieważ, aby atak się powiódł użytkownik musi najpierw otworzyć plik ze spreparowanym dokumentem.
Spośród trzech luk w zabezpieczeniach sterowników działających w trybie jądra Windows, które opisuje biuletyn MS09-065. szczególnie godzny uwagi jest błąd objawiający się podczas przetwarzania odpowiednio spreparowanych osadzonych czcionek OpenType (Embedded OpenType, EOT). W systemach Windows XP i Server 2003 napastnik za pomocą dokumentów albo stron internetowych, które zawierają tego rodzaju czcionki, może przemycać i wykonywać dowolny kod. Za pośrednictwem obu pozostałych luk może on zapewnić sobie wyłącznie jedynie uprawnienia.
Wyłącznie Visty i spokrewnionego z nią Servera 200. dotyczy usterka w protokole przeznaczonym do komunikacji z urządzeniami takimi jak drukarki, kamery czy PDA (MS09-063). Nasłuchująca na portach TCP o numerach 5357 i 5358 usługa Web Services on Devices API (WSDAPI) nie przetwarza w prawidłowy sposób nagłówków wiadomości WSD. Jest ona aktywna we wszystkich zestawach ustawień zapory sieciowej Windows, poza polisami przeznaczonymi dla sieci publicznych. W związku z tym potencjalny napastnik musi znajdować się w sieci korporacyjnej lub domowej, aby mógł przeprowadzić atak. Poza tym ta luka może być też wykorzystywana przez odpowiedzi na wywołania wychodzące z systemu.
MS09-06. informuje o kolejnym błędzie usługi LSASS, za pośrednictwem której napastnik może zdyskredytować systemy Windows XP i warianty Server 2000/2003/2008. Aktualizacja biuletynu MS09-064 usuwa krytyczny błąd w zabezpieczeniach serwera protokołowania licencji Windows 2000 Server.
Rozwiązanie
Instalacja uaktualnień eliminuje opisywane problemy.
Na uwagę zasługuje fakt, że tym razem wszystkie luki znalezione przez zewnętrznych specjalistów zostały najpierw zgłoszone go Microsoftu. Poza tym najnowsza wersja systemu Windows nie jest w żadnym stopniu dotknięta tymi usterkami, co oczywiście można różnie interpretować. Użytkownicy powinni jak najszybciej zainstalować aktualizacje – najlepiej za pośrednictwem usługi automatycznej aktualizacji Microsoftu, która już od jakiegoś czasu obsługuje także użytkowników Office'a.
