Microsoft: 8 biuletynów, 5 krytycznych

W kwietniu 2009 r. Microsoft opublikował 8 biuletynów bezpieczeństwa. 5 z nich zostało oznaczone jako krytyczne, co oznacza że umożliwiają przestępcom zdalne wykonanie złośliwego kodu w systemie Windows ofiary. Zaleca się jak najszybsze zainstalowanie opisanych niżej poprawek.

BIULETYNY KRYTYCZNE

Biuletyn MS09-014

To aktualizacja zabezpieczeń dla programu Internet Explorer w wersjach 5.01, 6 i 7, uruchomionego w systemie Windows 2000, Windows XP, Windows Server 2003, Windows Vista oraz Windows Server 2008. Biuletyn usuwa 6 luk w zabezpieczeniach, które umożliwiają zdalne wykonanie kodu podczas przeglądania specjalnie przygotowanej strony internetowej za pomocą przeglądarki Internet Explorer lub jeśli użytkownik zostanie połączony z serwerem przestępcy za pomocą protokołu HTTP. Ryzyko udanego ataku jest mniejsze w przypadku osób pracujących na koncie z ograniczonymi uprawnieniami.

(szczegółowe informacje)

Biuletyn MS09-013

Pozwala zabezpieczyć się przed zdalnym wykorzystaniem kodu na komputerze użytkownika poprzez usługę WinHTTP (Microsoft Windows HTTP Services). Atakujący, który wykorzysta tę podatność będzie miał możliwość zdalnej instalacji oprogramowania, podglądu, kopiowania oraz usunięcia danych użytkownika oraz tworzenia nowych kont z pełnymi uprawnieniami. Luka jest wykorzystywana w systemach Windows 2000, Windows XP, Windows Server 2003, Windows Vista i Windows Server 2008. Osoby pracujące z Windows na koncie z ograniczonymi uprawnieniami są mniej zagrożone niż te, pracujące na koncie administratora.

(szczegółowe informacje)

Biuletyn MS09-011

Dotyczy błędów w zabezpieczeniach Microsoft DirectShow. Opisywana luka pozwala na zdalne wykonanie kodu, jeśli użytkownik uruchomi specjalnie spreparowany plik MJPEG. Jeśli atak się powiedzie, osoba wykorzystująca opisywane luki będzie mogła przejąć pełną kontrolę nad system operacyjnym. Możliwa stanie się zdalna instalacja oprogramowania, podglądu, kopiowania oraz usunięcia danych użytkownika oraz tworzenia nowych kont z pełnymi uprawnieniami. Ryzyko udanego ataku jest mniejsze w przypadku osób pracujących na koncie z ograniczonymi uprawnieniami. Luka jest wykorzystywana w systemach Windows 2000, Windows XP i Windows Server 2008.

(szczegółowe informacje)

Biuletyn MS09-010

To aktualizacja usuwająca 4 luki w zabezpieczeniach Microsoft Office 2000, Microsoft Office 2002 oraz Wordpad. Atak może nastąpić po otworzeniu specjalnie przygotowanego pliku tekstowego w formatach Microsoft Office, RTF, Write lub WordPerfect. Jeśli atak się powiedzie, osoba wykorzystująca opisywane luki będzie mogła przejąć pełną kontrolę nad system operacyjnym. Możliwa stanie się zdalna instalacja oprogramowania, podglądu, kopiowania oraz usunięcia danych użytkownika oraz tworzenia nowych kont z pełnymi uprawnieniami.

(szczegółowe informacje)

Biuletyn MS09-009

Poprawka dotyczy usterek w zabezpieczeniach Microsoft Excel (w wersjach 2000, 2002, 2003 oraz 2007), Pakietu zgodności dla systemu Microsoft Office, Podglądu programu Microsoft Office Excel. Podatne na atak jest również oprogramowanie dla komputerów Macintosh: Microsoft Office (w wersjach 2004 oraz 2008). Opisywana luka pozwala na zdalne wykonanie kodu, jeśli użytkownik uruchomi specjalnie spreparowany plik arkusza Excel. Wykorzystując błędy w zabezpieczeniach, atakujący może zdalnie wykonać dowolny kod w systemie Windows ofiary. Ryzyko udanego ataku jest mniejsze w przypadku osób pracujących na koncie z ograniczonymi uprawnieniami.

(szczegółowe informacje)

BIULETYNY WAŻNE

Biuletyn MS09-016

Dotyczy usług w systemach Windows: Microsoft Internet Security and Acceleration (ISA), Server and Microsoft Forefront Threat Management Gateway (TMG), Medium Business Edition (MBE). Opisywana luka pozwala na przeprowadzenie ataku typu "odmowa usługi" (DoS) lub doprowadzenie do wycieku informacji. Do ataku może dojść w następujących przypadkach: jeśli osoba wykorzystująca tę podatność prześle specjalnie spreparowane pakiety sieciowe do niezaktualizowanego systemu, jeśli użytkownik kliknie spreparowany odnośnik URL lub odwiedzi stronę internetową ze specjalnie spreparowaną zawartością.

(szczegółowe informacje)

Biuletyn MS09-012

Luka jest wykorzystywana w systemach Windows 2000, Windows XP, Windows Server 2003, Windows Vista i Windows Server 2008. Dziura umożliwia podniesienie poziomu uprawnień, jeśli osoba atakująca jest uprawniona do zalogowania się w systemie ofiary oraz uruchomi specjalnie spreparowaną aplikację. Jeśli atak się powiedzie, osoba wykorzystująca opisywane luki będzie mogła przejąć pełną kontrolę nad system operacyjnym.

(szczegółowe informacje)

BIULETYN ŚREDNIEJ WAGI

Biuletyn MS09-015

Opisywana poprawka dotyczy luki w usłudze Windows SearchPath. Dziura pozwala na podniesienie poziomu uprawnień, w przypadku gdy użytkownik pobierze do odpowiedniej lokalizacji plik spreparowany przez atakującego i uruchomi go. Jeśli atak się powiedzie, osoba wykorzystująca opisywane luki będzie mogła podnieść poziom swoich uprawnień w zaatakowanym systemie. Atakujący może wtedy instalować programy, przeglądać, zmieniać lub usuwać dane albo tworzyć nowe konta z pełnymi prawami użytkownika. Luka jest wykorzystywana w systemach Windows XP, Windows Server 2003, Windows Vista i Windows Server 2008.

(szczegółowe informacje)

Przemysław Mugeński


Wersja do druku

15.04.2009 r.

MS Office 2010 także w wersji 64-bit, 12:11

Barco Nio 3MP - większa jasność obrazów medycznych, 12:07

15.04.2009 r.

iRiver: Podwodny odtwarzacz MP3, 17:34

UPC przyspiesza do 30 Mbps, 17:46