Zbliża się dzień łatek w Microsofcie: wiele znanych luk pozostaje niezałatanych

W ciągu najbliższego dnia łatek Microsoft zamierza opublikować jedynie dwie aktualizacje bezpieczeństwa, które jednak ogółem naprawiają osiem luk w Windows i pakiecie Office. Specjaliści z Redmond oznaczyli jednak obie aktualizacje zaledwie jako ważne, ponieważ naprawianych przez nie luk nie da się wykorzystać przez Sieć; użytkownik musi otworzyć spreparowany plik.

W ciągu najbliższego dnia łatek Microsoft zamierza opublikować jedynie dwie aktualizacje bezpieczeństwa, które jednak ogółem naprawiają osiem luk w Windows i pakiecie Office. Specjaliści z Redmond oznaczyli jednak obie aktualizacje zaledwie jako ważne, ponieważ naprawianych przez nie luk nie da się wykorzystać przez Sieć; użytkownik musi otworzyć spreparowany plik.

Dla zgłoszonej na początku tygodnia luki w Internet Explorerze pod systemami Windows 2000. XP i Server 2003, która jest związana z plikami pomocy i VBScriptem nie ma jeszcze łaty. Microsoft obserwuje sytuację i jako środek ochronny zaleca powstrzymanie się od naciskania klawisza [F1]. Jak na razie nie zaobserwowano żadnych ataków. Problem nie dotyczy systemów Windows 7, Vista i Server 2008.

Wszystko wskazuje na to, że nie będzie też łaty dla dziury w Internet Explorerze występującej przy przetwarzaniu pewnych określonych ścieżek UNC. Również i w tym przypadku problem dotyczy w szczególności systemów starszych niż Vista, w których Internet Explorer (7 i 8. nie działa w trybie chronionym (Protected Mode).

Oprócz tego wciąż jeszcze nie ma rozwiązania dla błędu związanego z ochroną Internet Explorera 8 przed atakami typu Cross-Site Scripting. Poza tym niezałatana zostaje znana od połowy listopada luka DoS w kliencie SMB systemu Windows 7 i Windows Server 200. R2 oraz luka w Internet Information Server 6.0 (IIS) przy przetwarzaniu nazw plików z rozszerzeniem zawierającym średnik. W związku z tym kolejka nierozwiązanych problemów jest coraz dłuższa.

Nie dalej jak wczoraj Chief Information Security Officer Tom Stanley z linii lotniczych Continental Airlines na konferencji RSA skarżył się, że zbyt wiele luk pozostaje niezałatanych. Jak mówi Stanley, jest mu wszystko jedno, nad iloma lukami producenci pracują jednocześnie i jak wielkie kolejki tworzą się w związku z testami. "Jeśli nie zamierzacie przeznaczyć wystarczających zasobów, aby szybko usunąć ten problem, to poszukajcie sobie innej branży" –. grzmiał Stanley w dyskusji panelowej.

Microsoft znowu przypomina o tym, że w tym roku kończy się pomoc techniczna dla wielu wersji Windows. Dla Windows 2000 od 13 lipca 2010 nie będzie już żadnych aktualizacji. Windows XP Service Pack 2 będzie wspierany jeszcze tylko do 13 lipca 2010. Zalecana jest więc aktualizacja do SP 3. Oprócz tego również Windows Vista RTM będzie objęty opieką tylko do 13 lipca 2010, a Vista SP1 jeszcze do 12 lipca 2011.