Opravy: Únor bílý, chyby sílí...

Opravy: Únor bílý, chyby sílí...

... a proto je Microsoft záplatuje. Microsoft 10. února oficiálně vydal kompletní sadu únorových záplat. Přičemž tam najdeme i takové, které jsou lákavým soustem pro červíky. Jedna z kritických chyb je označována navíc za jednu z nejzávažnějších v historii.

Vydané Microsoft Security Buletiny mají následující čísla:

  • MS04-004 - Kumulativní oprava pro Internet Explorer
  • MS04-005 - Virtual PC for Mac může uživateli poskytnout vyšší oprávnění
  • MS04-006 - Windows Internet Naming Service (WINS)
  • MS04-007 - Přetečení bufferu knihovny Microsoft ASN.1

Bulletiny 004, 006 a 007 jsou určeny pro operační systém Windows, bulletin 005 je určen pro Macintosh. Pojďme se nyní podrobněji podívat na jednotlivé bulletiny:

MS04-004 - Kumulativní patch pro Internet Explorer

Kritická záplata. Security Bulletin MS04-004 Microsoft vydal mimo plánovaný termín měsíčních záplat - 2.2.2004. Jednalo se o kumulativní záplatu pro prohlížeč Internet Explorer, opravující tři nové chyby. Kromě jiného záplata deaktivovala URL adresu ve formátu http(s)://jméno:heslo@adresa.doména - tj. adresu s předdefinovaným jménem a heslem pro přímý vstup na stránky vyžadující autorizaci. Vzhledem k tomu, že tento formát ale používala řada velkých firem a aplikací, byl Microsoft donucen tuto možnost opět zpřístupnit úpravou záplat. Současně nabízené aktualizace tedy již tuto možnost opět povolují a zároveň odstraňují bezpečnostní problém, kvůli kterému byla tato vlastnost urychleně zablokována.

Postižené operační systémy:

  • Windows NT Workstation 4.0
  • Windows NT Server 4.0
  • Windows NT 4.0 Server, Terminal Server Edition
  • Windows 2000
  • Windows XP
  • Windows Server 2003

Záplaty jsou dostupné pro prohlížeče od verze IE 5.01. Zde jsou odkazy na české verze (pokud jsou dostupné):

Podrobnější informace naleznete v naší aktualitě z 3. února 2004.

MS04-007 - Přetečení bufferu knihovny Microsoft ASN.1

Kritická záplata. Security Bulletin MS04-007 popisuje poměrně kritickou chybu knihovny Microsoft Abstract Syntax Notation 1 (ASN.1), což je knihovna umožňující spolupráci dat z různých platforem. Problémem je nedostatečné ošetření přetečení zásobníku, díky kterému může útočník na dálku spustit nebezpečný kód s administrátorskými právy a tím prakticky získat kompletní přístup ke vzdálenému počítači. Jedná se o velmi vážnou chybu, která bude zcela jistě velmi zneužívána a hrozí kvůli ní masívní útok nějakého červa.

Zde naleznete opravy pro operační systémy, které jsou tímto problémem postiženy:

MS04-005 - Virtual PC for Mac může uživateli poskytnout vyšší oprávnění

Důležitá záplata. Bulletin MS04-005 bude pro většinu uživatelů spíše nezajímavý, protože se netýká přímo operačního systému Windows, ale platformy Macintosh.

Problém nastává ve způsobu, jakým produkt Microsoft Virtual PC for Mac pracuje s dočasnými soubory. Pomocí speciálně upraveného souboru může útočník získat vyšší oprávnění, než které mu systém legálně přidělí. Podmínkou nicméně zůstává, že útočník se nejprve musí do daného systému přihlásit a mít platný účet.

Zde naleznete opravy pro postižené verze produktů:

MS04-006 - Windows Internet Naming Service (WINS)

Důležitá záplata. Security Bulletin MS04-006 popisuje chybu, která se vyskytuje ve službě operačního systému pojmenované Windows Internet Naming Service (WINS). Problém nastává při kontrole délky speciálně upravených paketů. V systému Windows Server 2003 může série takovýchto paketů zaslaných na WINS celkově znepřístupnit celý systém, který je následně nutno celý restartovat. Bezpečnostní problém MS04-006 neumožňuje získat kontrolu nebo přístup k systému, ale umožní vytvořit jistou formu DoS útoku – znepřístupnění systému.

Zde naleznete opravy pro operační systémy, které jsou tímto problémem postiženy:

Další budou v březnu

Nyní se již můžete vrhnout do instalování záplat ať již pomocí ručního stažení z výše uvedených odkazů nebo pomocí automatického záplatování se systémem Windows Update. Příští březnový balík oprav Microsoft ohlásil na 9. března 2004.

Určitě si přečtěte

Články odjinud