... a proto je Microsoft záplatuje. Microsoft 10. února oficiálně vydal kompletní sadu únorových záplat. Přičemž tam najdeme i takové, které jsou lákavým soustem pro červíky. Jedna z kritických chyb je označována navíc za jednu z nejzávažnějších v historii.
Vydané Microsoft Security Buletiny mají následující čísla:
- MS04-004 - Kumulativní oprava pro Internet Explorer
- MS04-005 - Virtual PC for Mac může uživateli poskytnout vyšší oprávnění
- MS04-006 - Windows Internet Naming Service (WINS)
- MS04-007 - Přetečení bufferu knihovny Microsoft ASN.1
Bulletiny 004, 006 a 007 jsou určeny pro operační systém Windows, bulletin 005 je určen pro Macintosh. Pojďme se nyní podrobněji podívat na jednotlivé bulletiny:
MS04-004 - Kumulativní patch pro Internet Explorer
Kritická záplata. Security Bulletin MS04-004 Microsoft vydal mimo plánovaný termín měsíčních záplat - 2.2.2004. Jednalo se o kumulativní záplatu pro prohlížeč Internet Explorer, opravující tři nové chyby. Kromě jiného záplata deaktivovala URL adresu ve formátu http(s)://jméno:heslo@adresa.doména - tj. adresu s předdefinovaným jménem a heslem pro přímý vstup na stránky vyžadující autorizaci. Vzhledem k tomu, že tento formát ale používala řada velkých firem a aplikací, byl Microsoft donucen tuto možnost opět zpřístupnit úpravou záplat. Současně nabízené aktualizace tedy již tuto možnost opět povolují a zároveň odstraňují bezpečnostní problém, kvůli kterému byla tato vlastnost urychleně zablokována.
Postižené operační systémy:
- Windows NT Workstation 4.0
- Windows NT Server 4.0
- Windows NT 4.0 Server, Terminal Server Edition
- Windows 2000
- Windows XP
- Windows Server 2003
Záplaty jsou dostupné pro prohlížeče od verze IE 5.01. Zde jsou odkazy na české verze (pokud jsou dostupné):
Podrobnější informace naleznete v naší aktualitě z 3. února 2004.
MS04-007 - Přetečení bufferu knihovny Microsoft ASN.1
Kritická záplata. Security Bulletin MS04-007 popisuje poměrně kritickou chybu knihovny Microsoft Abstract Syntax Notation 1 (ASN.1), což je knihovna umožňující spolupráci dat z různých platforem. Problémem je nedostatečné ošetření přetečení zásobníku, díky kterému může útočník na dálku spustit nebezpečný kód s administrátorskými právy a tím prakticky získat kompletní přístup ke vzdálenému počítači. Jedná se o velmi vážnou chybu, která bude zcela jistě velmi zneužívána a hrozí kvůli ní masívní útok nějakého červa.
Zde naleznete opravy pro operační systémy, které jsou tímto problémem postiženy:
MS04-005 - Virtual PC for Mac může uživateli poskytnout vyšší oprávnění
Důležitá záplata. Bulletin MS04-005 bude pro většinu uživatelů spíše nezajímavý, protože se netýká přímo operačního systému Windows, ale platformy Macintosh.
Problém nastává ve způsobu, jakým produkt Microsoft Virtual PC for Mac pracuje s dočasnými soubory. Pomocí speciálně upraveného souboru může útočník získat vyšší oprávnění, než které mu systém legálně přidělí. Podmínkou nicméně zůstává, že útočník se nejprve musí do daného systému přihlásit a mít platný účet.
Zde naleznete opravy pro postižené verze produktů:
MS04-006 - Windows Internet Naming Service (WINS)
Důležitá záplata. Security Bulletin MS04-006 popisuje chybu, která se vyskytuje ve službě operačního systému pojmenované Windows Internet Naming Service (WINS). Problém nastává při kontrole délky speciálně upravených paketů. V systému Windows Server 2003 může série takovýchto paketů zaslaných na WINS celkově znepřístupnit celý systém, který je následně nutno celý restartovat. Bezpečnostní problém MS04-006 neumožňuje získat kontrolu nebo přístup k systému, ale umožní vytvořit jistou formu DoS útoku – znepřístupnění systému.
Zde naleznete opravy pro operační systémy, které jsou tímto problémem postiženy:
Další budou v březnu
Nyní se již můžete vrhnout do instalování záplat ať již pomocí ručního stažení z výše uvedených odkazů nebo pomocí automatického záplatování se systémem Windows Update. Příští březnový balík oprav Microsoft ohlásil na 9. března 2004.