V únoru nás Microsoft na svátek sv. Valentýna zahrnul celkem dvanácti bezpečnostními balíčky s opravami svých produktů. Z celkového počtu je celkem šest záplat označeno kritickým stupněm důležitosti, zbývajících šest poté obdrželo hodnocení důležité opravy. V článku vám přinášíme pravidelný stručný popis zveřejněných oprav a možnost přímého stažení české varianty záplaty.
MS07-005 – zranitelnost v tutoriálu Windows
Stupeň důležitosti: důležitá oprava
Postižené produkty: Windows 2000 SP4, Windows XP SP2, Windows Server 2003 bez SP a SP1
Tato bezpečnostní oprava řeší zranitelnost v úvodním interaktivním průvodci operačního systému Windows. Pomocí speciálně upraveného souboru se zástupcem může potenciální útočník spustit libovolný nebezpečný kód. Ke zneužití zranitelnost je však potřebná interakce uživatele.
Opravný balíček si můžete stáhnout zde.
Kompletní Security Bulletin MS07-005 si můžete přečíst ZDE.
MS07-006 – zranitelnost ve Windows Shellu
Stupeň důležitosti: důležitá oprava
Postižené produkty: Windows XP SP2, Windows Server 2003 bez SP a SP1
Windows Shell trpí zranitelností, pomocí které mohou v průběhu detekce a registrace nového hardware přihlášení uživatelé zvýšit dočasně svá oprávnění v rámci operačního systému. Potenciální útočník tak může na lokálním počítači neoprávněně získat úplný přístup k počítači.Problém nepostihuje nový operační systém Windows Vista.
České verze aktualizačních balíčků můžete stáhnout zde:
Kompletní Security Bulletin MS07-006 si můžete přečíst ZDE.
MS07-007 – zranitelnost služby Windows Image Acquisition
Stupeň důležitosti: důležitá oprava
Postižené produkty: Windows XP SP2
Tato bezpečnostní oprava řeší zranitelnost služby Windows Image Acquisition v operačním systému Windows XP SP2. Ostatní operační systémy touto opravovanou chybou nejsou postiženy. Potenciální útočník může prostřednictvím uvedené služby spustit libovolnou jinou aplikaci s vyššími oprávněními a může tak získat kompletní přístup k operačnímu systému.
Českou verzi aktualizačního balíčku můžete stáhnout zde:
Kompletní Security Bulletin MS07-007 si můžete přečíst ZDE.
MS07-008 – zranitelnost v ActiveX HTML nápovědy
Stupeň důležitosti: kritická oprava
Postižené produkty: Windows 2000 SP4, Windows XP SP2, Windows Server 2003 bez SP a SP1
Tato kritická bezpečnostní oprava řeší zranitelnost ActiveX komponenty HTML nápovědy, kterou potenciální útočník může zneužít ke vzdálenému spuštění libovolného nebezpečného kódu. Útočníkovi postačí speciálně upravená webová stránka, kterou musí uživatel otevřít na svém počítači.
České verze aktualizačních balíčků můžete stáhnout zde:
Kompletní Security Bulletin MS07-008 si můžete přečíst ZDE.
MS07-009 – zranitelnost v MDAC může spustit kód
Stupeň důležitosti: kritická oprava
Postižené produkty: MDAC 2.5, MDAC 2.7, MDAC 2.8
Tato kritická bezpečnostní oprava provádí korekci chyby v ActiveX komponentě ADODB.Connection, která je nabízena jako součást Data Objects ActiveX (DAO) v rámci balíku MDAC (Microsoft Data Access Components). Pomocí zranitelnost může potenciální útočník vzdáleně spustit libovolný nebezpečný kód.
České verze aktualizačních balíčků pro konkrétní verze kombinace MDAC a kompletní Security Bulletin MS07-009 můžete najít ZDE.
MS07-010 – zranitelnost v ochraně proti malware
Stupeň důležitosti: kritická oprava
Postižené produkty: Microsoft Windows Defender, Windows Live OneCare, Microsoft Antigen for Exchange 9.x, Microsoft Antigen for SMTP Gateway 9.x,Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint
V bezpečnostních produktech společnosti Microsoft byla odhalena zranitelnost, pomocí které mohou útočníci spustit libovolný nebezpečný kód. Zranitelnost, která se týká více výše uvedených produktů, může být zneužita během kontroly PDF souborů. Útočníkovi stačí podvrhnout uživateli speciálně upravený PDF soubor.
Aktualizace produktů jsou dostupné prostřednictvím služby Windows Update. Kompletní Security Bulletin MS07-010 si můžete přečíst ZDE.
MS07-011 – zranitelnost v Microsoft OLE Dialog
Stupeň důležitosti: důležitá oprava
Postižený produkt: Windows 2000 SP4, Windows XP SP2, Windows Server 2003 bez SP a SP1
V komponentě OLE Dialog operačního systému Windows existuje zranitelnost, pomocí které mohou útočníci na uživatelově počítači spustit libovolný nebezpečný kód.
České verze aktualizačních balíčků můžete stáhnout zde:
Kompletní Security Bulletin MS07-011 si můžete přečíst ZDE.
MS07-012 – zranitelnost v Microsoft MFC může spustit kód
Stupeň důležitosti: důležitá oprava
Postižené produkty: Windows 2000 SP4, Windows XP SP2, Windows Server 2003 bez SP a SP1, Visual Studio .NET 2002, Visual Studio .NET 2003
Opravný balíček řeší bezpečnostní zranitelnost v MFC komponentě, dodávané v rámci operačního systému Windows a v rámci vývojového balíku Visual Studio.Prostřednictvím vloženého OLE objektu s RTF souborem může potenciální útočník docílit spuštění libovolného nebezpečného kódu.
České verze aktualizačních balíčků můžete stáhnout zde:
Kompletní Security Bulletin MS07-012 si můžete přečíst ZDE.
MS07-013 – zranitelnost v MS RichEdit může spustit kód
Stupeň důležitosti: důležitá oprava
Postižené produkty: Windows 2000 SP4, Windows XP SP2, Windows Server 2003 bez SP a SP1, Microsoft Office 2000, Microsoft Office XP, Microsoft Office 2003, 0ffice 2004 for Mac, Microsoft Learning Essentials 1.0, 1.1, and 1.5 for Microsoft Office, Microsoft Visio 2002
Komponenta RichEdit, distribuovaná s operačním systémem a kancelářským balíkem MS Office, obsahuje zranitelnost, kterou mohou útočníci zneužít prostřednictví OLE objektu s RTF souborem.
Záplaty pro konkrétní operační systém nebo příslušnou verzi kancelářského balíku a kompletní Security Bulletin MS07-013 můžete najít ZDE.
MS07-014 – zranitelnost v MS Wordu může spustit kód
Stupeň důležitosti: kritická oprava
Postižené produkty: MS Office 2000, MS Office XP, MS Office 2003, Microsoft Works 2004, Microsoft Works 2005, Microsoft Works 2006, Microsoft Works for Mac, Microsoft Office 2004 for Mac
Opravný balíček řeší celkem 6 bezpečnostních zranitelností textového editoru Microsoft Word, pomocí kterých může potenciální útočník poměrně snadno vzdáleně spustit libovolný nebezpečný kód. Problém nepostihuje novou kancelářskou sadu MS Office 2007.
České verze aktualizačních balíčků můžete stáhnout zde:
Kompletní Security Bulletin MS07-014 si můžete přečíst ZDE.
MS07-015 – zranitelnost v MS Office může spustit kód
Stupeň důležitosti: kritická oprava
Postižené produkty: MS Office 2000, MS Office XP, MS Office 2003, MS Project 2000, MS Project 2002, MS Visio 2002, MS Office 2004 for Mac
Opravný balíček řeší celkem 2 bezpečnostní zranitelnosti kancelářských produktů Excel a PowerPoint, prostřednictvím kterých mohou útočníci vzdáleně spustit libovolný nebezpečný kód. K provedení úspěšného útoku musí útočník donutit otevřít uživatele speciálně upravený Excelovský sešit (.xls) či PowerPoint prezentaci (.ppt).
České verze aktualizačních balíčků můžete stáhnout zde:
Kompletní Security Bulletin MS07-015 si můžete přečíst ZDE.
MS07-016 – kumulativní záplata pro Internet Explorer
Stupeň důležitosti: kritická oprava
Postižené produkty: Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 7
V rámci této kumulativní opravy jsou řešeny celkem tři bezpečnostní zranitelnosti webového prohlížeče Microsoft Internet Explorer. První dvě se týkají potenciálního porušení paměti v COM objektu, třetí pak rovněž možného narušení paměti během obsluhy spojení s FTP serverem. Výsledkem zneužití těchto chyb může být vzdálené spuštění nebezpečného kódu uživatele nebo dočasné povýšení uživatelových práv.
Aktualizační balíčky pro konkrétní verzi Internet Exploreru a operačního systému a rovněž i kompletní Security Bulletin MS07-016 můžete najít ZDE.
Nová verze Windows Malicious Software Removal Tool
Již tradiční součástí pravidelných záplat je aktualizovaný nástroj Windows Malicious Software Removal Tool. Nástroj se po stažení automaticky jednorázově spustí, zkontroluje přítomnost známého malware a případně provede jeho odstranění. Hlavní síla nástroje spočívá v plošném nasazení u uživatelů.
Další kolo v březnu
Uživatelům postižených produktů samozřejmě doporučujeme instalaci opravného balíčku – ať již pomocí ručního stažení záplaty nebo za asistence Windows Update. Pokud máte nastavenu automatickou aktualizaci, záplaty se v případě potřeby samy přihlásí o pozornost nebo přímo automaticky nainstalují.
Další pravidelná porce oprav by měla být zveřejněna 13. března 2007.
