Květnové záplaty Microsoftu nám dají trochu oddychu po perném dubnu, který přinesl opravy několika velkých a nebezpečných bezpečnostních chyb. Pro květen Microsoft uvolnil pouze jednu opravu popsanou v Microsoft Security Bulletinu MS04-015.
MS04-015 – Chyba v nápovědě může spustit nebezpečný kód
Závažnost: důležitá oprava
Postižené systémy: Windows XP, Windows XP SP1, Windows Server 2003
Balíček MS04-015 řeší nově objevený problém v části „Nápověda a odborná pomoc“ operačních systémů Windows XP a Windows Server 2003. Díky chybě v ověření HCP URL je možné dosáhnout vzdáleného spuštění nebezpečného kódu. Případný útočník tak může pomocí speciální konstrukce HCP URL odkazu získat plný přístup k napadenému stroji s plnými privilegii. Takovýto odkaz lze umístit na webové stránky nebo zaslat emailem. Ke zneužití chyby je však nutná spolupráce uživatele – kliknutí na podvržený odkaz.
Odkazy na české verze záplat:
Další podrobnosti o Microsoft Security Bulletinu MS04-015:
Příští dávka oprav je Microsoftem naplánována na 8. června.
