Záplatujte si Windows. Microsoft nabízí opravy kritických problémů

V druhém měsíci tohoto roku si společnost Microsoft připravila pro uživatele jejích produktů celkem sedm bezpečnostních oprav a mezi nimi i několik se stupněm kritická. Proto neváhejte a záplatujte.

Dalších sedm záplat připravila společnost Microsoft pro své zákazníky. Dvě z těchto oprav jsou označeny jako kritické.

Jak vůbec záplatování u Microsoftu probíhá?

V nedávné prezentaci Dalibor Lukeš, který v Microsoftu zastává pozici platform strategy manager, představil plán, podle kterého firma postupuje při po objevení chyby a práci na její opravě.

Microsoft přitom k objevení chyby využívá jak svého bezpečnostního týmu, tak externí bezpečnostní firmy, se kterými má na toto téma smlouvu, ale i partnerů a zákazníků. Firma tvrdí, že jen 5 % objevených chyb pochází ze zdrojů, které nejsou s firmou ve smluvním vztahu a hrozí zde tak riziko zveřejnění podrobností o chybě.

Od ohlášení chyby pak v Microsoftu probíhá standardizovaný proces, na jehož konci je výsledná záplata. Nejprve je chyba analyzována a podle její závažnosti je případě vydáno doporučení (security advisory) jak jí rychle čelit, třeba i za cenu omezení funkčnosti systému s touto chybou.

Následuje vývoj opravy a největší patrně nejvíc časově náročná fáze, kterou je testováni opravy. Na konci tohoto postupu je vydání bezpečnostního bulletinu, který obsahuje příslušnou záplatu.

Že je firma v případě opravdu vážného nebezpečí schopna reagovat poměrně rychle, svědčí například nedávný problém s obrazovými WMF daty, kde se záplata objevila zhruba do týdne od jejího zveřejnění. Průměrná doba práce na záplatě (počítají se i opravy méně závažných chyb) se však pohybuje o někde kolem 50 dnů. Mělo by to podle firmy stačit, protože většinou není zneužití chyby akutní problém. Chyby, které na svou opravu čekají déle, většinou nebyly analyzovány jako závažné.

Většina virů a další problémové havěti totiž vychází až po zveřejnění záplaty, kde jejich tvůrci analýzou zjistí analýzou záplaty, jak chybu zneužít. První exempláře se pak objevují do 9 dnů od vydání opravy. To je také důvod, proč by si měl každý uživatel se záplatováním svého systému. A vyplývá z tohoto, že firma nemůže vydávat postupně záplaty pro jednotlivé platformy, tak jak je má vyrobeny, ale najednou.

Únorové záplaty

 

  • První záplata tohoto měsíce je kumulativní oprava prohlížeče Internet Explorer (IE) ve verzi 5.01 s SP4. Právě pro tento prohlížeč nahrazuje předchozí opravu chybné práce s WMF soubory, která měla právě na IE 5.01 problémy.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-004.

    Postižené systémy:
    Windows 2000 Service Pack 4
    Internet Explorer 5.01 SP4

  • Druhá únorová záplata má také statut kritické. Tentokrát se jedná problém s multimediálním přehrávačem Windows Media Player (WMP), kde existuje možnost spuštění závadného kódu a převzetí kontroly nad napadeným PC útočníkem. Uživatel musí být ale přihlášen jako administrátor. Chyba spočívá v nakládání s obrazovými soubory ve formátu bitmap (BMP), respektive s parsovacími funkcemi. Útočníkovi stačí připravit upravený BMP soubor a umístit jej na webovou stránku nebo jako součást e-mailové zprávy. Chyba způsobí přetečení zásobníku.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-005.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 SP1

    Microsoft Windows 98 a Second Edition (SE)
    Microsoft Windows Millennium Edition (ME)
    Windows Media Player for Windows XP
    Windows Media Player 9.0
    Windows Media Player 7.1
    Windows Media Player 10

  • Šestá letošní a třetí únorová oprava se také okrajově týká Windows Media Playeru (WMP). Pokud uživatel využívá jiný prohlížeč než Internet Explorer, mohl být doposud postižen chybou, která se nacházela ve způsobu jakým zásuvný modul WMP pracoval s vadným EMBED elementem. Takový upravený EMBED element se přitom může nacházet na webové stránce, či případně jako součást reklamního banneru. Podle práv přihlášeného uživatele, pak může například získat přístup k celému počítači.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-006.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows XP x64 Edition
    Windows Server 2003 a SP1
    Windows Server 2003 x64 Edition

  • Další chyba, kterou Microsoft tento týden opravuje, sice neumožní útočníkovi převzít kontrolu nad celým systémem, ale dovolí znepřístupnit službu (DoS).

    Oprava tak napravuje nedostatek v Internet Group Management Protocol (IGMP) v3. Systém totiž doposud nedokázal ignorovat speciálně upravenou zprávu, kterou může útočník právě za účelem zablokování serveru útočník použít.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-007.

    Postižené systémy:
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows XP x64 Edition
    Windows Server 2003 a SP1 vč. Itanium-based
    Windows Server 2003 x64 Edition

  • Další problém, který firma v únoru opravuje, šel na vrub Web Clienta. V důsledku toho, jak Windows zpracovávají požadavky Web Clineta, mohl být systém napaden a převzata nad ním kontrola. Chyba byla v nezabezpečené vyrovnávací paměti a zneužít ji mohl pouze uživatel s již existujícími přístupovými právy. Tomu stačilo poslat několik speciálně upravených zpráv.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-008.

    Postižené systémy:
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows XP x64 Edition
    Windows Server 2003 a SP1 vč. Itanium-based
    Windows Server 2003 x64 Edition

  • Deváté letošní záplata, by se dala nazvat exotickou. Chyba se totiž týká Korejského Imput Method editoru, který například umožňuje pracovat s klávesnicí i v prostředí složitého korejského jazyka. Chybu může zneužít přihlášený uživatel, který si tak může zvýšit práva.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-009.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows XP x64 Edition
    Windows Server 2003 a SP1
    Windows Server 2003 x64 Edition
    Microsoft Office 2003

  • Jubilejní desátá letošní záplata se týká přímo programu PowerPoint (PP)2000. Zneužít lze jeho složku Temporary Internet Files a získat tak neoprávněně některé údaje či data. Nedostatek byl ve způsobu, jakým spolupracovat PowerPoit s Internet Explorerem, když chtěl PP zpracovávat některá HTML data.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-010.

    Postižené systémy:
    MS Office Power Point 2000
    MS Office 2000 SP3

  • Odstraňte škodlivé kódy

    Microsoft také nezapomněl na vydání další verze svého software na odstranění škodlivého software. Co je nového a odkazy na stažení můžete najít zde.

    Automatické vyhledání a instalace záplat

    K instalaci záplat také můžete využít stránek Windows update pro OS Windows či Office update pro kancelářské programy (měli byste však mít po ruce instalační CD). Výhodou je, že vám bude proskenován systém a na základě takto získané informace budou instalovány pouze potřebné opravy

    • Nejčtenější

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    v diskusi je 125 příspěvků

    26. března 2024

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

    Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

    v diskusi je 76 příspěvků

    27. března 2024

    Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

    v diskusi je 44 příspěvků

    28. března 2024

    Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

    Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

    v diskusi je 50 příspěvků

    21. března 2024  10:23,  aktualizováno  14:26

    Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 21 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Za vyhynutím dinosaurům mohla být i doba temna

    v diskusi nejsou příspěvky

    29. března 2024

    Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

    Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

    v diskusi jsou 2 příspěvky

    29. března 2024

    V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

    Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

    v diskusi jsou 4 příspěvky

    28. března 2024  15:36,  aktualizováno  19:54

    Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 21 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Akční letáky
    Akční letáky

    Všechny akční letáky na jednom místě!

    Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

    Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

    Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

    Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

    Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

    Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...

    Stále víc hráčů dobrovolně opouští Survivor. Je znamením doby zhýčkanost?

    Letošní ročník reality show Survivor je zatím nejkritizovanějším v celé historii soutěže. Může za to fakt, že už...