Doporučujeme

Copilot od Microsoftu nabízí zdarma mnoho schopností placeného ChatGPT

Microsoft před prázdninami uklízí. Vydává 12 záplat

  • 15
Bohatá nadílka záplat zahrnuje jak operační systém Windows, tak kancelářský software Office i odlehčený Works, ale i například Exchange server. Zdá se, že žádný uživatel produktů od Microsoftu nezůstal ušetřen. Vzhůru do oprav.

Červnové záplaty patří v letošním roce k těm nejpočetnějším a také zasahují nevětší okruh produktů společnosti Microsoft. Osm z nich je označeno jako kritické a tři důležité a jedna opravuje středně velký nedostatek. 

Červnové záplaty

  • První záplata tohoto měsíce, kterou Microsoft opravuje, se týká již prohlížeče Internet Explorer. Jedná se kumulativní opravu proto obsahuje vedle opravy již zmíněného problému i záplaty na některé další nedostatky a souhrn doposud vydaných záplat. Těch nedostatků je celkem osm. Patří mezi ně špatná správa paměti, chyba v HTML dekódování, kontrole ActiveX, znovu se vrací chyba v práci s COM objekty či s CCS Cross-Domain. Opravuje se také chyba, jenž umožňovala podvrhnout falešnou adresu do adresového řádku. Většina z těchto chyb je kritických a dovoluje potencionálnímu útočníkovi v nejhorším případě převzít kontrolu nad napadeným systémem. Jiné zase umožní alespoň znepřístupnit určitou službu (DoS).

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-021.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 SP1
    Microsoft Windows 98 a Second Edition (SE)
    Microsoft Windows Millennium Edition (ME)
    Internet Explorer 5.01 SP4
    Internet Explorer 6.0 SP1

  • Další záplata se také částečně týká prohlížeče Internet Explorer, který stejně jako OS Windows využívá renderovací knihovnu pro obrázky formátu ART. Chyba je v neošetřeném paměťovému zásobníku této knihovny, která může vést k jeho přetečení. To umožní útočníkovi spustit libovolný kód. K zneužití chyby mu stačí e-mail nebo speciálně upravená webová stránku, případně reklamní banner. Podle práv přihlášeného uživatele, pak může například získat přístup k celému počítači. Microsoft doporučuje nejdříve nainstalovat předchozí záplatu a následně tuto-

    Podrobnější informace a odkaz na záplatu naleznete v bezpečnostním bulletinu MS06-022.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4 (pokud je instalována podpora AOL Image)
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 SP1
    Microsoft Windows 98 a Second Edition (SE)
    Microsoft Windows Millennium Edition (ME)

  • Třetí záplata v červnu a 23. v roce 2006 patří také mezi kritické. Problém přinesl skriptovací jazyk Jscript, respektive v tom, jak nakládal se některými objekty. Oprava přináší vetší ochranu právě užívaných objektů. Chyba šla zneužít prostřednictvím speciálně upravených webových stránek.

    S podrobnostmi a odkazem na záplatu se můžete setkat v bezpečnostním bulletinu MS06-023.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 SP1
    Microsoft Windows 98 a Second Edition (SE)
    Microsoft Windows Millennium Edition (ME)

  • Druhá třetina červnových záplat začíná opravou problému v multimediálním přehrávači Windows Media Player (WMP). Chybka se vyskytla ve způsobu jakým WMP nakládá s PNG obrázkovými soubory. Díky ní mohl potenciální útočník docílit přetečení paměťového zásobníku a následně spuštění vlastního kódu, čímž může dosáhnout až ovládnutí počítače. Útočník může například vytvořit speciálně vytvořený obsah ve formátu (WMZ), ten je určen pro úpravu vzhledu přehrávače.

    Zájemci o podrobnější informace a odkazy ke stažení záplaty se mohou obrátit na bezpečnostní bulletin MS06-024.

    Postižené systémy:
    Windows Media Player 7.1
    Windows Media Player pro XP
    Windows Media Player 9
    Windows Media Player 10

  • Chyba v technologii pro Směrování a vzdálený přístup se v podstatě skládá ze dvou nedostatků. První z nich je problém s paměťovým zásobníkem a druhý nedostatek s registrem. V obou případech stačí k úspěšnému útoku, aby útočník zaslal napadenému systému speciálně upravenou zprávu. V případě Win XP a Win Server 2003 však musí ještě získat regulérní přihlašovací heslo.

    Podrobnosti a odkaz na záplaty jsou jako obvykle bezpečnostním bulletinu MS06-025.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 SP1

  • Další kritická záplata se vrací k „populárnímu“ WMF obrazovému formátu, který zavařil Microsoftu na konci minulého roku. Tentokrát je chyba v Graphic Rendering Engine pro Windows 98, 98SE a ME, který si ne zcela dobře poradí se speciálně upravenými obrázky, jež může útočník připravit. Chyba následně umožní útočníkovi spustit vlastní kód a případně ovládnout počítač.

    Další informace včetně odkazu na záplaty jsou v bezpečnostním bulletinu MS06-026.

    Postižené systémy:
    Windows 98
    Windows 98 SE
    Windows Millenium Edition

  • Předposlední záplata s označením kritická míří do kancelářského balíku Office a odlehčené verze Works. Chybou jsou totiž postiženy programy MS Word a textový editor ve Works Suite. Útočníkovi stačí aby uživatel otevřel speciálně upravený dokument s upraveným object pointerem. V důsledku následného napadení systmové paměti, pak může útočník spustit libovolný kód a ovládnout počítač.

    Podrobnější informace a odkaz na záplatu naleznete v bezpečnostním bulletinu MS06-027.

    Postižené systémy:
    Microsoft Word 2000
    Microsoft Word 2002
    Microsoft Word 2003
    Word Viewer 2003
    Works Suite

  • Také poslední kritická záplata se vztahuje k balíku kancelářských programů Office. Tentokrát je však chyba v PowerPointu (PP) Také zde musí uživatel nejdříve otevřít speciálně upravený soubor pro – tentokrát pro PP. Tím umožní útočníkovi spustit libovolný kód a pokud je přihlášen jak administrátor, tak i ovládnout celý systém. Chyba může být zneužita i na OS MAC

    Podrobnostmi a odkazem na záplatu jsou v bezpečnostním bulletinu MS06-028.

    Postižené systémy:
    Microsoft PowerPoint 2000
    Microsoft PowerPoint 2002
    Microsoft PowerPoint 2003
    Microsoft PowerPoint 2004 pro Mac
    Microsoft PowerPoint v. X for Mac

  • Následující opravy již sice nejsou označeny jako kritické, přesto by však neměly uniknout vaší pozornosti. První z nich postihuje Outlook Web Acces (OWA) ze systému MS Exchange Server. Chyba umožní, aby útočník spustil u uživatele vlastní skript, pokud tento uživatel otevře speciálně upravenou zprávu od útočníka prostřednictvím OWA.

    Více podrobností a odkaz na záplaty jsou k dispozici v bezpečnostním bulletinu MS06-029.

    Postižené systémy:
    Microsoft Exchange 2000 Server Microsoft Exchange Server 2003 Service Pack 1
    Exchange Server 2003 Service Pack 2

  • Druhá záplata z ranku důležitých se skládá ze dvou chyb v Server Message Block (SMB). První umožňuje zvýšit práva přihlášeného uživatele a druhá znepřístupnění služby (DoS) také prostřednictvím chyby v SMB. Zneužití těchto chyb je v obou případech podmíněno přihlášením uživatele a následným spuštěním speciálního programu.

    Pro podrobnosti a odkaz na stažení záplaty zamiřte do bezpečnostního bulletinu MS06-030.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 SP1

  • Předpolední popsaná záplata tohoto měsíce opravuje ovladač protokolu TCP/IP, respektive jeho komponentu IP Soure Routing. Díky nedostatečně ošetřenému paměťovému zásobníku mohl útočník pomocí upraveného síťového paketu způsobit jeho přetečení a následně mohl spustit vlastní kód.

    Podrobnější informace a odkaz na záplatu naleznete v bezpečnostním bulletinu MS06-032.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 SP1

  • Pouze střední nebezpečí plyne 31. záplaty letošního roku. Chyba se týká způsobu jakým RPC server zpracovává autentifikaci prostřednictvím Secure Socket Layer (SSL). Útočník musí nějakým způsobem přimět uživatele, aby se přihlásil právě na jeho server, aby se pak mohl vydávat za server, který může například spolupracovat s uživatelovým počítačem na základě SSL ověření. Další podrobnosti a odkaz na záplatu získáte v v bezpečnostním bulletinu MS06-031.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4

    •  

     

    Microsoft také nezapomněl na vydání další verze svého software na odstranění škodlivého software. Co je nového a odkazy na stažení můžete najít zde. Vyzkoušet můžete také betaverzi programu Microsoft Windows Defender pro boj se špiónskými programy (spyware).

    Automatické vyhledání a instalace záplat

    K instalaci záplat také můžete využít stránek Windows update pro OS Windows či Office update pro kancelářské programy (měli byste však mít po ruce instalační CD). Výhodou je, že vám bude proskenován systém a na základě takto získané informace budou instalovány pouze potřebné opravy


    Témata: CCS, COM, Hesla, Internet Explorer, knihovna, Knihovny, Microsoft Windows, napadení, operační systém, software, TCP/IP, Windows XP

    Herní technika

    Finance

    Osobnosti

    Elektromobilita

    Termíny

    Válka na Ukrajině

    Nepřehlédněte