Microsoft: foltozgatás gőzerővel

A Microsoft a múlt héten kiadott előzetes közleményében már jelezte, hogy februárban az elmúlt hónapokhoz képest jóval több frissítést tesz letölthetővé. Nem is történt ez másként. A cég eredeti terveihez képest mindössze annyi változás történt, hogy eggyel kevesebb - kritikus veszélyességű sérülékenységet megszüntető - hibajavítás vált elérhetővé, de még így is tizenegy biztonsági közlemény jelent meg. Ezek közül hat a kritikus, míg öt a fontos veszélyességi kategóriába tartozik. Mindez egyben azt is jelenti, hogy a frissítések telepítését nem célszerű sokáig halogatni, hiszen azok több olyan biztonsági rést is befoltoznak, amelyek jogosulatlan távoli kódfuttatáshoz és az érintett rendszerek feletti teljes irányítás átvételéhez segíthetik hozzá a támadókat. A Microsoft tájékoztatóiból kiderül, hogy a Windows operációs rendszerek mellett többek között az Internet Explorer, az Office, az IIS webszerver és az Active Directory is frissítésre szorul.

A Microsoft februári biztonsági közleményei a következők:

Kritikus veszélyességi besorolást kapott közlemények:

MS08-007
A Microsoft szerint a WebDAV Mini-Redirector vagy más néven a Web Client szolgáltatás egy olyan sebezhetőséget tartalmaz, amelynek kihasználásával a támadók teljes mértékben átvehetik az érintett rendszerek feletti irányítást. A biztonsági hiba a Windows XP, a Windows Vista, a Windows Server 2003 operációs rendszerek esetében is kockázatot jelent.

MS08-008
A Windows operációs rendszerek szerves részeként működő Object Linking and Embedding (OLE) Automation puffertúlcsordulási sérülékenysége jogosulatlan távoli kódfuttatást tesz lehetővé. A biztonsági hiba akár speciálisan szerkesztett weboldalak révén is kihasználható, és akkor jelent különösen nagy kockázatot, ha a felhasználó rendszergazdai jogosultságokkal használja a számítógépét. A sérülékenység a Windows 2000, a Windows XP, a Windows Vista és a Windows Server 2003 operációs rendszerekben is megtalálható.

MS08-009
A Word szövegszerkesztő kritikus veszélyességű sebezhetősége speciálisan összeállított dokumentumok megnyitásakor okozhat károkat. Ekkor ugyanis a támadók rosszindulatú kódokat futtathatnak le, majd teljes mértékben átvehetik az érintetett rendszerek feletti irányítást. A Microsoft konkrétabb információkat nem közölt a hibával kapcsolatban. Mindössze annyit tudni, hogy a biztonsági rés az Office 2000-hez, az Office XP-hez és az Office 2003 szoftvercsomagokhoz tartozó Word alkalmazásokat valamint az Office Word Viewer 2003 szoftvert érinti.

MS08-010
A Microsoft ebben a közleményében négy olyan sebezhetőségről számolt be, amelyek mindegyikét az Internet Explorer wbebböngészők tartalmazzák. A szoftverek többek között HTML feldolgozási és ActiveX kezelési hibák miatt jelentenek veszélyt, ugyanis a sérülékenységek kártékony kódok jogosulatlan futtatására, illetve az érintett rendszerek feletti irányítás átvételére adnak lehetőséget a támadók számára. A Microsoft szerint a biztonsági rések az Internet Explorer 5.01-es, 6.0-ás és 7-0-ás verzióiban vannak jelen.

MS08-012
Az Office Publisher alkalmazás két kritikus memóriakezelési hibát tartalmaz. A problémák többnyire akkor jelentkezhetnek, amikor a felhasználó megnyit egy pub állományt, és azt a szoftver betölti a memóriába. Különlegesen összeállított pub fájlok révén ugyanis a támadóknak lehetőségük nyílhat kártékony kódok lefuttatására, és a rendszerek feletti irányítás átvételére. A közleményből kiderül, hogy a sebezhetőségek az Office 2000, az Office XP és az Office 2003 szoftvercsomagokhoz tartozó Publisher alkalmazásokat érintik.

MS08-013
A Microsoft nem adott sok információt azzal a hibával kapcsolatban, amely egyes Office termékekben lapul. A cég annyit közölt, hogy speciálisan szerkesztett Office dokumentumok révén a támadóknak lehetőségük nyílhat kártékony kódok jogosulatlan távoli futtatására. Ezt követően az operációs rendszerbe aktuálisan bejelentkezett felhasználó jogosultsági szintjének megfelelően hajthatják végre a tevékenységüket. A tájékoztató szerint a sérülékenységet az Office 2000, az Office XP, az Office 2003 valamint az Office 2004 for Mac szoftvercsomagok tartalmazzák.