Opravy: Únor bílý, chyby sílí...

... a proto je Microsoft záplatuje. Microsoft 10. února oficiálně vydal kompletní sadu únorových záplat. Přičemž tam najdeme i takové, které jsou lákavým soustem pro červíky. Jedna z kritických chyb je označována navíc za jednu z nejzávažnějších v historii.
Opravy: Únor bílý, chyby sílí...

Vydané Microsoft Security Buletiny mají následující čísla:

  • MS04-004 - Kumulativní oprava pro Internet Explorer
  • MS04-005 - Virtual PC for Mac může uživateli poskytnout vyšší oprávnění
  • MS04-006 - Windows Internet Naming Service (WINS)
  • MS04-007 - Přetečení bufferu knihovny Microsoft ASN.1

Bulletiny 004, 006 a 007 jsou určeny pro operační systém Windows, bulletin 005 je určen pro Macintosh. Pojďme se nyní podrobněji podívat na jednotlivé bulletiny:

MS04-004 - Kumulativní patch pro Internet Explorer

Kritická záplata. Security Bulletin MS04-004 Microsoft vydal mimo plánovaný termín měsíčních záplat - 2.2.2004. Jednalo se o kumulativní záplatu pro prohlížeč Internet Explorer, opravující tři nové chyby. Kromě jiného záplata deaktivovala URL adresu ve formátu http(s)://jméno:heslo@adresa.doména - tj. adresu s předdefinovaným jménem a heslem pro přímý vstup na stránky vyžadující autorizaci. Vzhledem k tomu, že tento formát ale používala řada velkých firem a aplikací, byl Microsoft donucen tuto možnost opět zpřístupnit úpravou záplat. Současně nabízené aktualizace tedy již tuto možnost opět povolují a zároveň odstraňují bezpečnostní problém, kvůli kterému byla tato vlastnost urychleně zablokována.

Postižené operační systémy:

  • Windows NT Workstation 4.0
  • Windows NT Server 4.0
  • Windows NT 4.0 Server, Terminal Server Edition
  • Windows 2000
  • Windows XP
  • Windows Server 2003

Záplaty jsou dostupné pro prohlížeče od verze IE 5.01. Zde jsou odkazy na české verze (pokud jsou dostupné):

Podrobnější informace naleznete v naší aktualitě z 3. února 2004.

MS04-007 - Přetečení bufferu knihovny Microsoft ASN.1

Kritická záplata. Security Bulletin MS04-007 popisuje poměrně kritickou chybu knihovny Microsoft Abstract Syntax Notation 1 (ASN.1), což je knihovna umožňující spolupráci dat z různých platforem. Problémem je nedostatečné ošetření přetečení zásobníku, díky kterému může útočník na dálku spustit nebezpečný kód s administrátorskými právy a tím prakticky získat kompletní přístup ke vzdálenému počítači. Jedná se o velmi vážnou chybu, která bude zcela jistě velmi zneužívána a hrozí kvůli ní masívní útok nějakého červa.

Zde naleznete opravy pro operační systémy, které jsou tímto problémem postiženy:

MS04-005 - Virtual PC for Mac může uživateli poskytnout vyšší oprávnění

Důležitá záplata. Bulletin MS04-005 bude pro většinu uživatelů spíše nezajímavý, protože se netýká přímo operačního systému Windows, ale platformy Macintosh.

Problém nastává ve způsobu, jakým produkt Microsoft Virtual PC for Mac pracuje s dočasnými soubory. Pomocí speciálně upraveného souboru může útočník získat vyšší oprávnění, než které mu systém legálně přidělí. Podmínkou nicméně zůstává, že útočník se nejprve musí do daného systému přihlásit a mít platný účet.

Zde naleznete opravy pro postižené verze produktů:

MS04-006 - Windows Internet Naming Service (WINS)

Důležitá záplata. Security Bulletin MS04-006 popisuje chybu, která se vyskytuje ve službě operačního systému pojmenované Windows Internet Naming Service (WINS). Problém nastává při kontrole délky speciálně upravených paketů. V systému Windows Server 2003 může série takovýchto paketů zaslaných na WINS celkově znepřístupnit celý systém, který je následně nutno celý restartovat. Bezpečnostní problém MS04-006 neumožňuje získat kontrolu nebo přístup k systému, ale umožní vytvořit jistou formu DoS útoku – znepřístupnění systému.

Zde naleznete opravy pro operační systémy, které jsou tímto problémem postiženy:

Další budou v březnu

Nyní se již můžete vrhnout do instalování záplat ať již pomocí ručního stažení z výše uvedených odkazů nebo pomocí automatického záplatování se systémem Windows Update. Příští březnový balík oprav Microsoft ohlásil na 9. března 2004.

Diskuze (37) Další článek: EEye: čekáme na další opravy Internet Exploreru

Témata článku: Microsoft, Internet Explorer, Wins, Internet Explorer 10, PID, Masivní útok, Chyba, Internet Explorer 9, Únor, Microsoft Windows, Kritická záplata, Plánovaný termín, Záplata, Upravená verze, Microsoft Security, Windows Server, Bílý, Windows 7 SP1, Oprava



Bezpečnostní díra ohrožuje routery 17 výrobců. Na stupnici závažnosti má 9,9 bodů, útočníci už ji zneužívají

Bezpečnostní díra ohrožuje routery 17 výrobců. Na stupnici závažnosti má 9,9 bodů, útočníci už ji zneužívají

** Experti odhalili chybu, ohrožující routery nejméně 17 výrobců ** Útočníci tuto chybu začali aktivně využívat k instalaci botnetu ** Bezpečnostní nedostatek CVE-2021-20090 je velmi vážný

Karel Kilián
RouterHackingBezpečnost
40 ženských erotických symbolů osmdesátých let

40 ženských erotických symbolů osmdesátých let

Vyzývavá krása, rafinovanost, nevinnost i perverzní voyeurské fantazie. Filmaři už se sexu ve filmu nebáli, a tak dala 80. léta vzniknout řadě kultovních ženských erotických symbolů.

Marek Čech
Filmy a seriály