Microsoft nabídl šest kritických záplat, ale nestačí to

  2:50
Společnost Microsoft v uplynulém týdnu uvolnila osm oprav na své produkty, které napravují celkem 27 chyb. Bohužel to však nebude stačit. Útočníci totiž již nyní vědí, jak zneužít další dvě neošetřené chyby, a objevují se již první napadené stránky.
Opravovány byly i programy sady Office.

Opravovány byly i programy sady Office. | foto: Jakub Dvořák, Technet.cz

Byla to jedna z největších záplatovacích akcí v historii Microsoftu. Týkala se většiny uživatelů, protože opravuje jak problémy v operačním systému, internetovém prohlížeči, Windows Media Playeru, tak například v kancelářském balíku a službě pro sdílení.

Již nyní je však jasné, že Microsoft bude muset přidat co nejdříve ještě minimálně dvě nové opravy. Způsob jejich zneužití se již totiž dostal na internet a začíná být zneužíván.

Co Microsoft opravil

Celkem nová dávka záplat opravuje 23 kritických incidentů. Čtyři z nich budou potřebovat restart počítače MS08-070, MS08-071 a MS08-073 a . MS08-075.

První oprava řeší chybu zabezpečení v Microsoft ActiveX ve Visual Basic 6.0. Konkrétně jde o chybu zabezpečení v ovládacích prvcích ActiveX pro soubory rozšíření režimu runtime. Více v bulletinu MS08-070.

Dále je opravován problém v zabezpečení v systému Windows, který může způsobit ovládnutí počítače útočníkem. Konkrétně se jedná o zpracování WMF souborů v rozhraní GDI. Podrobnosti jsou v bulletinu MS08-071

Třetí opravovaný problém zasahuje kancelářské aplikace, když je řešena chyba zabezpečení v aplikaci Microsoft Word. Podrobněji o tom zpravuje bulletin MS08-072.

Také internetový prohlížeč se dočkal tento týden opravy, dokonce kumulativní. Celkem čtyři nedostatky, které mohly návštěvníkům podvržených stránek minimálně znepříjemnit život, jsou nyní odstraněny. Informace o novém zabezpečení v aplikaci Internet Explorer jsou v bulletinu MS08-073.

Opravena je nově i chyba v programu Microsoft Excel. Jedná se o tři chyby zabezpečení této aplikace, které mohou být zneužity, když  uživatel otevře speciálně vytvořený soubor Excel. O chybě více pojednává bulletin MS08-074.

Nedostatky se nevyhnuly ani zabezpečení programu Windows Search, kde jsou řešeny dvě chyby, které mohly ohrozit počítač, pokud byl otevřen a uložen speciálně vytvořený soubor s výsledky hledání. Pro podrobnosti o opravě využijte bulletin MS08-75.

V předposlední opravě se dostáváme i k problému v systému Windows Media. Znovu je řešeno více problémů, které se týkají programu Windows Media Player, Windows Media Format Runtime a Windows Media Services. Podrobné informace jsou zveřejněny v bulletinu MS08-76

Poslední opravou této záplatové smrště je likvidace nedostatku v zabezpečení serveru Microsoft Office SharePoint Server. Útočníkovi umožňovala zvýšit si úroveň oprávnění. Podrobněji v bulletinu MS08-77

Microsoft zároveň vydal i nový Microsoft Windows Malicious Software Removal. Co je nového, a odkazy na stažení můžete najít zde.

Automatické vyhledání a instalace záplat

K instalaci záplat také můžete využít stránek Windows update zde . Bude vám proskenován systém a na základě takto získané informace budou instalovány pouze potřebné opravy.


A co ještě chybí

Podle serveru InformationWeek.com Microsoft ještě nestihl opravit dva problémy, které byly prozrazeny a existují již postupy, jak je zneužít. Takové chyby jsou označovány jako zero-day flaw.

Jeden z těchto nedostatků se týká WordPad Text Converteru pro soubory MS Word 97 v operačních systémech Windows 2000 SP4, Windows XP SP2i  Windows Server 2003 SP1 a SP2. Zneužití tohoto nedostatku však zatím není příliš známé.

Mnohem závažnějším neopraveným problémem je nedostatek ve  Windows Internet Exploreru 7 (potenciálně i další IE včetě beta 8) běžícím na Windows XP SP2 a SP3, Windows Serveru 2003 SP1 a SP2, Windows Vistě i s SP1 a i Windows Serveru 2008.Ve svém doporučení na blogu firma doporučuje nastavit Protected mód Internet Exploreru 7 a beta 8. Doporučuje se také práce s co nejnižšími uživatelskými právy, neboť úspěšný útočník získá stejnou úroveň přístupu jako napadený uživatel. Řešením může být přechod na jiný prohlížeč.

Aktuálně známé útoky prý nemohou využít této zranitelnosti automatizovaně pomocí e-mailu.

Každopádně se již nyní objevují zprávy o zneužití této chyby umístěním závadného kódu na internetové stránky. První napadené stránky byly pornoservery, ale aktuálně podle bezpečnostní společnosti Trend Micro se jen během víkendu objevilo na 6 000 takto zkompromitovaných webů.

Patřily mezi ně například populární vyhledávací web na Tchaj-wanu nebo populární čínský obchod se sportovním zbožím.

Microsoft podle informací z firmy na záplatě intenzivně pracuje, takže se dá očekávat, že se objeví mimo klasický termín uvádění záplat - tedy druhé úterý v měsíci. Podle dosavadních informací však nestihne společnost opravu kompletně připravit do konce tohoto roku

  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 45 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 22 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Velký železniční KVÍZ: Máte-li dost páry, zkuste vytřít zrak Sheldonovi

v diskusi je 5 příspěvků

23. března 2024

Projeďte se aktivně historií železniční dopravy, ve světě i doma. Čekají na vás otázky rozmanité, z...

Za vyhynutím dinosaurům mohla být i doba temna

v diskusi nejsou příspěvky

29. března 2024

Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

v diskusi jsou 3 příspěvky

29. března 2024

V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi je 5 příspěvků

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 22 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200 čtverečních metrů musí mít...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...