iDNES.cz

Premium

Získejte všechny články
jen za 89 Kč/měsíc

Nová dávka oprav Microsoftu zlepší ochranu vašeho systému

9. srpna 2006 13:31

Nové opravy Microsoftu mimo jiné opraví chyby zneužitelné z webu i z vašich e-mailů. Neváhejte proto a záplatujte jak Windows, tak Office.

Devět z dvanácti záplat měsíce srpna Microsoft označuje jako kritických. Dotýkají se jak operačních systémů, tak kancelářských balíků Office. Některé z nich dokonce obsahují další vnořené opravy, takže celkový počet updatů je mnohem vyšší. Nezapomeňte, že již od minulého

Srpnové záplaty

Hned první oprava, kterou Microsoft nabízí je kritická. Záplatuje se díky ní chyba v systému Server, kde je neošetřený paměťový zásobník. Je zajímavé, že i červencové záplaty začínaly opravou chyby v Serverových službách. Útočníkovi ke kompromitaci počítače stačí doručit speciálně upravenou zprávu.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-040.

Postižené systémy:

Windows 2000 Service Pack 4
Windows XP Service Pack 1 a Service Pack 2
Windows XP x64 Ed.
Windows Server 2003 SP1 a x64 Ed.
Microsoft Windows Server 2003 x64 Ed.

Druhá srpnová oprava se oficiálně týká DNS systému. Skryty jsou v ní však dvě záplaty. První opravuje chybu ve Windows Sockets 2 API, kde byl neochráněný paměťový zásobník. K jeho přetečení a následnému vpádu útočníka do systému stačilo, aby uživatel otevřel speciálně upravený soubor nebo vstoupil na útoku přizpůsobenou webovou stránku.

Druhý problém se již přímo týká DNS. Znovu je na vině neošetřený paměťový zásobník ve vrstvě DNS klienta. Chyb mohla být zneužita prostřednictvím speciálně upravené DNS komunikace.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-041.

Postižené systémy:

Windows 2000 Service Pack 4
Windows XP Service Pack 1 a Service Pack 2
Windows XP x64 Ed.
Windows Server 2003 SP1 a x64 Ed.
Microsoft Windows Server 2003 x64 Ed.

Třetí záplata tohoto měsíce, kterou Microsoft opravuje, se týká prohlížeče Internet Explorer. Jedná se kumulativní opravu proto obsahuje vedle opravy již zmíněného problému i záplaty na některé další nedostatky a souhrn doposud vydaných záplat. Těch nedostatků je celkem osm. Chyba v zásobníku u HTML částí vzhledu a umístění a v renderování, znovu se vrací chyba v práci s COM objekty či s CCS. Dále v nakládání se zdrojovými elementy a v práci s informacemi u přesměrování Cross-Domain. Opravuje se také chyba ve Windows Location a u FTP serveru. Většina z těchto chyb je kritických a dovoluje potencionálnímu útočníkovi v nejhorším případě převzít kontrolu nad napadeným systémem. Jiné zase umožní alespoň znepřístupnit určitou službu (DoS).

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-042.

Postižené systémy:

Windows 2000 Service Pack 3 a Service Pack 4
Windows XP Service Pack 1 a Windows XP Service Pack 2
Windows Server 2003 SP1
Internet Explorer 5.01 SP4
Internet Explorer 6.0 SP1

V pořadí 43. letošní oprava se zaměřuje na parsování v MHTML protokolu. Nedostatek může útočník využít až k ovládnutí systému

Stačí mu tomu vytvořit upravenou Webovou stránku nebo e-mail s HTML kódem, případně připravit reklamní banner

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-043.

Postižené systémy:

Windows XP Service Pack 1 a Service Pack 2
Windows XP x64 Ed.
Windows Server 2003 SP1 a x64 Ed.
Outlook Express 6

Další řešený problém postihuje HTML zdrojové soubory v knihovně Microsoft Management konzole, na které může být přímo odkázáno, což následně vede ke spuštění libovolného kódu.

Napadení lze jako v předchozím případě provést prostřednictvím speciálně upravení internetové stránky

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-044.

Postižené systémy:

Windows 2000 Service Pack 4

První oprava chyby, která není označena jako kritická, ale „pouze“ jako důležitá, se tentokrát týká průzkumníka ve Windows. Problém se týká systému „táhni a pusť“ (Drag and Drop). Útočník musí donutit uživatele ke stáhnutí a uložení speciálně upraveného souboru, aby mohl následně převzít kontrolu nad systémem na úrovni uživatelských práv napadeného.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-045.

Postižené systémy:

Windows XP Service Pack 1 a Service Pack 2
Windows XP x64 Ed.
Windows Server 2003 SP1 a x64 Ed.
Outlook Express 6

Šestou záplatou tohoto měsíce se znovu vracíme ke kritickým nedostatkům. Tentokrát je problém v zásobníku znaků v HTML nápovědě ActiveX. Napadení prostřednictvím upravené webové stránky může vést až ke kompromitaci dat a možnosti spuštění závadného kódu. Čím větší práva uživatele, tím větší škoda.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-046.

Postižené systémy:

Windows 2000 Service Pack 4
Windows XP Service Pack 1 a Service Pack 2
Windows XP x64 Ed.
Windows Server 2003 SP1 a x64 Ed.
Microsoft Windows Server 2003 x64 Ed.

Druhá polovina záplat tohoto měsíce se již dotýká kancelářského balíku Office. Chyba se nachází v systému Visual Basic for Application (VBA). K napadení slouží útočníkovi speciálně upravený textový dokument, tabulka či prezentace. Tento dokument může být jako HTML v e-mailové zprávě, ale uživatel ji musí přeposlat nebo na ni odpovědět, aby byla chyba zneužita. Chyba je také zneužitelná prostřednictvím upravené webové stránky.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-047.

Postižené systémy:

Microsoft Office 2000 SP3
Microsoft Project 2000 SP1 a Service Release 1
Microsoft Access 2000 Runtime Service Pack 3
MS Offie XP Service Pack 3
MS Offie Visio 2002 Service Pack 2
MS Works Suite 2004, 2005 a 2006
Microsoft Visual Basic for Applications SDK 6.0, 6,2, 6,3 a 6,4

I 48. letošní záplata míří do problémů kancelářského balíku Office. V tomto případě se však jedná o dvě opravy v jedné. Jsou mířeny na PowerPoint, kde v prvním případě útočník může zneužít chybu v parsování některých objektů pro vykreslování (shape container). Druhý nedostatek se pak dotýká parsování záznamu v PowerPointu. V obou případech může dojít ke zneužití prostřednictvím webové stránky nebo e-mailu. V případě e-mailu musí uživatel závadnou přílohu otevřít. Míra ovládnutí systému pak závisí na aktuálních právech napadeného uživatele.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-048.

Postižené systémy:

Microsoft PowerPoint 2000
Microsoft PowerPoint 2002
Microsoft PowerPoint 2003
Microsoft PowerPoint 2004 pro Mac
Microsoft PowerPoint v. X for Mac

Další záplata nepatří mezi kritické a opravuje problém v samotném jádru systému Windows 2000. Chyba v paměťovém zásobníku umožňuje zvýšení uživatelských práv. Přihlášený uživatel musí spustit speciální program, který mu to umožní.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-049

Postižené systémy:

Windows 2000 Service Pack 4

Jubilejní padesátá letošní záplata také patří mezi důležité a ne kritické. Její součástí jsou dvě opravy, které se týkají Hyperlinku. Oba vedou k zamezení rizika vyplývající z nezabezpečeného zásobníku v knihovně Hyperlink Object. Útočníkovi stačí vytvořit falešný odkaz, který povede ke spuštění kódu. Míra napadení systému pak odpovídá aktuálním uživatelským právům napadeného uživatele.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-050.

Postižené systémy:

Windows 2000 Service Pack 4
Windows XP Service Pack 1 a Service Pack 2
Windows XP x64 Ed.
Windows Server 2003 SP1 a x64 Ed.
Microsoft Windows Server 2003 x64 Ed.

Poslední dnešní záplata je i poslední kritickou záplatou uveřejněnou druhé úterý měsíce srpna. Oprava se znovu skládá ze dvou součástí, které obě míří do jádra Windows. V prvním případě se Microsoft snaží zamezit neoprávněnému zvýšení uživatelských práv ve Windows 2000. Pokud útočník připraví speciálně upravený DLL soubor a vloží jej do adresáře s profilem uživatele, může Winlogon zodpovědný za přihlašování takový soubor spustit a zvýšit tím práva uživatele.

Druhý nedostatek se týká výjimek v nakládání s rezidentními programy v paměti. Chyba může být zneužita prostřednictvím upravené webové stránky.

Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-051.

Postižené systémy:

Windows 2000 Service Pack 4
Windows XP Service Pack 1 a Service Pack 2
Windows XP x64 Ed.
Windows Server 2003 SP1 a x64 Ed.
Microsoft Windows Server 2003 x64 Ed.

Microsoft také nezapomněl na vydání další verze svého software na odstranění škodlivého software. Co je nového a odkazy na stažení můžete najít zde. Vyzkoušet můžete také betaverzi programu Microsoft Windows Defender pro boj se špiónskými programy (spyware).

Automatické vyhledání a instalace záplat

K instalaci záplat také můžete využít stránek Windows update pro OS Windows či Office update pro kancelářské programy (měli byste však mít po ruce instalační CD). Výhodou je, že vám bude proskenován systém a na základě takto získané informace budou instalovány pouze potřebné opravy

Autor: Roman Všetečka

Témata: CCS, COM, Internet Explorer, Knihovny, Microsoft Office, napadení, operační systém, software, Windows, Windows 2000, Windows XP

Komerční sdělení

Zázrak! NASA po pěti měsících obdržela od sondy Voyager smysluplnou zprávu

v diskusi je 135 příspěvků

23. dubna 2024 13:37

Když se v únoru letošního roku stále nedařilo navázat smysluplnou komunikaci s jedním z...

Herečce Slávce Budínové by bylo 100 let. Zemřela opuštěná, bez zájmu veřejnosti

v diskusi je 27 příspěvků

21. dubna 2024

Před 100 lety, 21. dubna 1924, se v Ostravě narodila známá česká herečka Slávka Budínová.

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Znovuzrození japonských letadlových lodí. Ve výzbroji budou mít F-35B

v diskusi je 51 příspěvků

19. dubna 2024

Japonsko má ve své ústavě zakázáno vlastnit ofenzivní zbraně, jako jsou letadlové lodě. Doba...

Uvidíme v budoucnu na obloze druhý Měsíc? Příčinou může být neobvyklá hvězda

v diskusi je 13 příspěvků

17. dubna 2024

Velmi neobvyklá hvězda éta Carinae v 19. století náhle zjasnila a stala se druhou nejjasnější...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Unikátní exkurze. Nahlédněte do francouzské jaderné ponorky před vyplutím

v diskusi je 16 příspěvků

20. dubna 2024

Není obvyklé, aby reportéři mohli nahlédnout do jaderné ponorky v aktivní službě. Agentura AP nyní...

Jiří Horák obnovil ČSSD a dovedl ji do parlamentu. Se Zemanem si nerozuměl

v diskusi nejsou příspěvky

24. dubna 2024

Před 100 lety se narodil Jiří Horák, který po sametové revoluci pomáhal znovuobnovit sociální...

Dnes už se bez nich válčit nedá. Raketový vzestup bojových dronů

v diskusi nejsou příspěvky

24. dubna 2024

Bezpilotní letadla (drony) jsou v posledních dvou dekádách na raketovém vzestupu. Přispěla k tomu...

Snadno s fotkami už i ve Windows. Aplikace Fotografie vyrostla na novou úroveň

v diskusi nejsou příspěvky

24. dubna 2024

Premium Aplikace Fotografie, která je pevnou součástí Windows, slouží nejen k prohlížení obrázků. Stejně...

Zázrak! NASA po pěti měsících obdržela od sondy Voyager smysluplnou zprávu

v diskusi je 135 příspěvků

23. dubna 2024 13:37

Když se v únoru letošního roku stále nedařilo navázat smysluplnou komunikaci s jedním z...

Akční letáky

Všechny akční letáky na jednom místě!

Zjistit více

Manželé Babišovi se rozcházejí, přejí si zachovat rodinnou harmonii

Podnikatel, předseda ANO a bývalý premiér Andrej Babiš (69) s manželkou Monikou (49) v pátek oznámili, že se...

Sexy Sandra Nováková pózovala pro Playboy. Focení schválil manžel

Herečka Sandra Nováková už několikrát při natáčení dokázala, že s odhalováním nemá problém. V minulosti přitom tvrdila,...

Herečka Hunter Schaferová potvrdila románek se španělskou zpěvačkou

Americká herečka Hunter Schaferová potvrdila domněnky mnoha jejích fanoušků. A to sice, že před pěti lety opravdu...

Největší mýty o zubní hygieně, kvůli kterým si můžete zničit chrup

Možná si myslíte, že se v péči o zuby orientujete dost dobře, přesto v této oblasti stále ještě existuje spousta...

Tenistka Markéta Vondroušová se po necelých dvou letech manželství rozvádí

Sedmá hráčka světa a aktuální vítězka nejprestižnějšího turnaje světa Wimbledonu, tenistka Markéta Vondroušová (24), se...

Herní technika

Finance

Osobnosti

Elektromobilita

Termíny

Válka na Ukrajině

Nepřehlédněte

iDNES.cz

© 1998–2024 MAFRA, a. s. a dodavatelé Profimedia, Reuters, ČTK, AP. Rozmnožování obsahu pro účely automatizované analýzy textů nebo dat dle ustanovení § 39c autorského zákona je bez souhlasu MAFRA, a. s. zakázáno. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s. zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s. IČ: 45313351.

mobilní verze

Přihlášení