Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Microsoft nabídl šest kritických záplat, ale nestačí to

  2:50aktualizováno  2:50
Společnost Microsoft v uplynulém týdnu uvolnila osm oprav na své produkty, které napravují celkem 27 chyb. Bohužel to však nebude stačit. Útočníci totiž již nyní vědí, jak zneužít další dvě neošetřené chyby, a objevují se již první napadené stránky.
Opravovány byly i programy sady Office.

Opravovány byly i programy sady Office. | foto: Jakub Dvořák, Technet.cz

Byla to jedna z největších záplatovacích akcí v historii Microsoftu. Týkala se většiny uživatelů, protože opravuje jak problémy v operačním systému, internetovém prohlížeči, Windows Media Playeru, tak například v kancelářském balíku a službě pro sdílení.

Již nyní je však jasné, že Microsoft bude muset přidat co nejdříve ještě minimálně dvě nové opravy. Způsob jejich zneužití se již totiž dostal na internet a začíná být zneužíván.

Co Microsoft opravil

Celkem nová dávka záplat opravuje 23 kritických incidentů. Čtyři z nich budou potřebovat restart počítače MS08-070, MS08-071 a MS08-073 a . MS08-075.

První oprava řeší chybu zabezpečení v Microsoft ActiveX ve Visual Basic 6.0. Konkrétně jde o chybu zabezpečení v ovládacích prvcích ActiveX pro soubory rozšíření režimu runtime. Více v bulletinu MS08-070.

Dále je opravován problém v zabezpečení v systému Windows, který může způsobit ovládnutí počítače útočníkem. Konkrétně se jedná o zpracování WMF souborů v rozhraní GDI. Podrobnosti jsou v bulletinu MS08-071

Třetí opravovaný problém zasahuje kancelářské aplikace, když je řešena chyba zabezpečení v aplikaci Microsoft Word. Podrobněji o tom zpravuje bulletin MS08-072.

Také internetový prohlížeč se dočkal tento týden opravy, dokonce kumulativní. Celkem čtyři nedostatky, které mohly návštěvníkům podvržených stránek minimálně znepříjemnit život, jsou nyní odstraněny. Informace o novém zabezpečení v aplikaci Internet Explorer jsou v bulletinu MS08-073.

Opravena je nově i chyba v programu Microsoft Excel. Jedná se o tři chyby zabezpečení této aplikace, které mohou být zneužity, když  uživatel otevře speciálně vytvořený soubor Excel. O chybě více pojednává bulletin MS08-074.

Nedostatky se nevyhnuly ani zabezpečení programu Windows Search, kde jsou řešeny dvě chyby, které mohly ohrozit počítač, pokud byl otevřen a uložen speciálně vytvořený soubor s výsledky hledání. Pro podrobnosti o opravě využijte bulletin MS08-75.

V předposlední opravě se dostáváme i k problému v systému Windows Media. Znovu je řešeno více problémů, které se týkají programu Windows Media Player, Windows Media Format Runtime a Windows Media Services. Podrobné informace jsou zveřejněny v bulletinu MS08-76

Poslední opravou této záplatové smrště je likvidace nedostatku v zabezpečení serveru Microsoft Office SharePoint Server. Útočníkovi umožňovala zvýšit si úroveň oprávnění. Podrobněji v bulletinu MS08-77

Microsoft zároveň vydal i nový Microsoft Windows Malicious Software Removal. Co je nového, a odkazy na stažení můžete najít zde.

Automatické vyhledání a instalace záplat

K instalaci záplat také můžete využít stránek Windows update zde . Bude vám proskenován systém a na základě takto získané informace budou instalovány pouze potřebné opravy.


A co ještě chybí

Podle serveru InformationWeek.com Microsoft ještě nestihl opravit dva problémy, které byly prozrazeny a existují již postupy, jak je zneužít. Takové chyby jsou označovány jako zero-day flaw.

Jeden z těchto nedostatků se týká WordPad Text Converteru pro soubory MS Word 97 v operačních systémech Windows 2000 SP4, Windows XP SP2i  Windows Server 2003 SP1 a SP2. Zneužití tohoto nedostatku však zatím není příliš známé.

Mnohem závažnějším neopraveným problémem je nedostatek ve  Windows Internet Exploreru 7 (potenciálně i další IE včetě beta 8) běžícím na Windows XP SP2 a SP3, Windows Serveru 2003 SP1 a SP2, Windows Vistě i s SP1 a i Windows Serveru 2008.Ve svém doporučení na blogu firma doporučuje nastavit Protected mód Internet Exploreru 7 a beta 8. Doporučuje se také práce s co nejnižšími uživatelskými právy, neboť úspěšný útočník získá stejnou úroveň přístupu jako napadený uživatel. Řešením může být přechod na jiný prohlížeč.

Aktuálně známé útoky prý nemohou využít této zranitelnosti automatizovaně pomocí e-mailu.

Každopádně se již nyní objevují zprávy o zneužití této chyby umístěním závadného kódu na internetové stránky. První napadené stránky byly pornoservery, ale aktuálně podle bezpečnostní společnosti Trend Micro se jen během víkendu objevilo na 6 000 takto zkompromitovaných webů.

Patřily mezi ně například populární vyhledávací web na Tchaj-wanu nebo populární čínský obchod se sportovním zbožím.

Microsoft podle informací z firmy na záplatě intenzivně pracuje, takže se dá očekávat, že se objeví mimo klasický termín uvádění záplat - tedy druhé úterý v měsíci. Podle dosavadních informací však nestihne společnost opravu kompletně připravit do konce tohoto roku





Hlavní zprávy

Další z rubriky

Jak si zapamatovat heslo?
Složitá hesla byla 0my1, lituje autor návrhu. Časté změny spíše škodí

Hesla hrají v počítačové bezpečnosti nezastupitelnou úlohu. Bohužel si řada lidí volí složité a těžko zapamatovatelné řetězce typu p0L3dn!ce. Jeden z autorů...  celý článek

(Ilustrační snímek)
Upozornil MHD na ostudnou chybu. Maďarská policie ho zatkla jako „hackera“

Maďarský provozovatel hromadné dopravy v Budapešti zavedl nový systém pro placení lístků on-line. Narychlo spuštěné stránky však obsahovaly řadu zásadních...  celý článek

Hacker Marcus Hutchins (na snímku z 15. května 2017)
V USA zatkli hackera, který zastavil šíření viru WannaCry

Hacker, kterému se v květnu podařilo zastavit masové šíření vyděračského počítačového viru WannaCry, byl zatčen v USA. Mladý Brit Marcus Hutchins, vystupující...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.