Pozor! Nové záplaty Microsoftu. Opravte si systém

  0:01aktualizováno  0:01
Přesně tak, jak zhruba před týdnem společnost Microsoft oznámila, uvedla v noci na středu deset nových záplat. Zbystřit pozornost by měli všichni uživatelé OS Windows a dalších programů této firmy. Několik záplat je totiž označeno jako kritické.
Po poměrně na záplaty chudém měsíci květnu nám Microsoft připravil větší dávku bezpečnosti v podobě nových záplat pro své produkty. Firma jich nabízí deset a opravuje jimi více či méně závažné nedostatky. Tři opravy přitom záplatují kritické nedostatky. Podívejme se na ně podrobněji.

Červnové záplaty

  • První červnová záplata je již jubilejní 25. uvedenou v tomto roce a vedle toho, že se jedná o souhrnnou aktualizaci prohlížeče Internet Explorer za uplynulé období, opravuje ještě dva nové nedostatky označené dohromady jako kritické. První nedostatek se týká obrazového formátu PNG, který může být zneužit k napadení počítače prostřednictvím chyby v Internet Exploreru. Chyba v renderovací knihově PNG může způsobit přetečení zásobníku. Pokud je při napadení uživatel přihlášen jako administrátor, může útočník získat vládu nad celým systémem. Na útočníkem upravený PNG soubor lze přitom narazit na internetové stránce nebo v e-mailu, který je vytvořen v HTML formátu.

    Druhá oprava, která je samostatně označována jako méně závažná, opravuje problémy, které měl Internet Explorer s rozpoznáváním přesměrování zdroje XML dat. Také v tomto případě se upravený XML soubor může nacházet na webové stránce nebo v e-mailové zprávě, kde však musí uživatel klinknou na odkaz, který jej na závadnou stránku zavede. V případě, že je útočník úspěšný, může získat přístup k lokálním XML souborům uživatele

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS05-025.

    Postižené systémy:
    Internet Explorer 5.01 SP3 a SP4
    Internet Explorer 6.0 SP1
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Windows 98
    Windows 98 Second Edition (SE)
    Windows Millennium Edition (ME)

  • Druhá oprava také patří mezi ty, kterými Microsoft záplatuje kritické nedostatky a opravuje kancelářská software Microsoftu. Chyba se týká způsobu, jakým operační systém nakládá se standardní HTML nápovědou. V rámci tohoto systému totiž nejsou dostatečně kontrolována vstupní data. Pokud útočník vytvoří upravený HTML kód, který může vložit na stránku, nebo například do reklamního banneru a útok se mu podaří, může následně spustit v počítači libovolný kód. V případě, že je uživatel přihlášen jako administrátor systému, získá stejná práva.

    Bližší podrobnosti a odkaz na stažení záplaty v bezpečnostním bulletinu MS05-026.

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Windows 98
    Windows 98 Second Edition (SE)
    Windows Millennium Edition (ME)

  • Poslední kritická záplata opravuje nedostatek v hodnocení příchozích SMB (Server Message Block) packetů. SMB je vedle jiných systémů důležité pro sdílení souborů, tiskáren, portů apod. Chyba může vést k ovládnutí počítače, ale spíše se projeví jako útok typu DoS, který slouží k znepřístupnění služeb, jako je například internetová stránka.

    Další informace i odkaz na stažení záplat hledejte v bezpečnostním bulletinu MS05-027.

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1

  • Další oprava již nepatří k těm, které opravují kritické nedostatky, ale i tak by neměla uniknout vaší pozornosti. Opravuje chybu Windows v nakládání se systémem Web Client. Speciálně upravený požadavek tohoto systému může vést k přetečení zásobníku a následnému spuštění závadného kódu. Útok nelze provést jako anonymní uživatel, ale útočník se musí nejdříve přihlásit. Podobně jako v předchozím případě může chyba může vést k ovládnutí počítače či zvýšení práv přihlášeného uživatele, ale spíše se projeví jako útok typu DoS.

    Další informace spolu s odkazy na stažení záplaty můžete nalézt v bezpečnostním bulletinu MS05-028.

    Postižené OS:
    Windows XP Service Pack 1
    Windows Server 2003 Gold

  • Pátá záplata je určena pro nápravu nedostatku v systému Outlook Web Access pro Exchange Server 5.5. Chyba typu cross-site scripting ve způsobu kódování HTML ve formuláři pro vytváření nových zpráv, umožní útočníkovi přístup ke stejným datům na serveru Outlook Web Access, jaké má uživatel. Ten navíc musí - byť nevědomky - na spuštění závadného kódu spolupracovat. Chyba může být zneužita speciálně upravenou zprávou, kterou uživatel obdrží.
  • Další informace a odkazy na stažení záplaty můžete nalézt v bezpečnostním bulletinu MS05-029.

    Postižený systém:
    Exchange Server 5.5 SP4

  • Tato nekritická avšak důležitá oprava reaguje na nedostatek v poštovním programu Outlook Express (OE). Pokud je využíván i jako systém na čtení příspěvků v rámci diskusních skupin (newsgroup), může být napaden prostřednictvím nezabezpečeného zásobníku funkce NNTP (Network News Transfer Protocol) Response Parsing v OE. Potenciální útočník v případě úspěchu získá stejná práva k systému, jako přihlášený uživatel. Musí však nejdříve uživatele donutit k připojení na závadný NNTP server. Poté může odeslat speciálně upravenou odpověď, aby napadl systém

    Zajímají-li vás podrobnosti či odkazy na stažení záplat, využijte bulletin MS05-030.

    Postižené systémy:
    Internet Explorer 5.01 SP3 a SP4
    Internet Explorer 6.0 SP1
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Windows 98
    Windows 98 Second Edition (SE)
    Windows Millennium Edition (ME)

  • Třicátáprvní letošní záplata opravuje nedostatek ve službě Interaktivní trénink krok za krokem (Step-by-Step Interactive Training). Útočník může využít chyby v bookmarkových odkazech, pokud připraví závadný soubor s takovým bookmarkovým odkazem. Upravený soubor může přijít uživateli e-mailem jako příloha, kterou však musí otevřít nebo se může nacházet na webové stránce. Útočník v případě úspěchu získává práva, na úrovní práv uživatele, jehož prostřednictvím byla chyba zneužita.
  • Další informace a odkazy na záplaty hledejte v bezpečnostním bulletinu MS05-031.

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Microsoft Interactive Training

  • Méně závažný problém řeší oprava systému Microsoft Agent. Ten umožňoval ve specifických případech podvrhnout ověřený obsah z internetu. Uživatel tak mohl být uveden v omyl, že na internetu využívá zabezpečený či ověřený obsah. Chyba není označena jako příliš nebezpečná, neboť při přístupu na stránku s podvrženým obsahem musel uživatel ještě provést několik akcí, aby se mohl nainstalovat závadný kód.

    Podrobněji se můžete o tomto problému přečíst v bulletinu MS05-032, kde jsou také odkazy na záplaty

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Windows 98
    Windows 98 Second Edition (SE)
    Windows Millennium Edition (ME)

  • Devátý červnový update se také řadí k těm, které nejsou příliš závažné. Útočník, který je zneužije totiž může jen sledovat proměnné v relaci uživatele Telnet klienta. Uživatel však musí být připojen k telnet serveru, který útočník využívá ke zneužití zmíněného nedostatku. I když se tímto způsobem nelze dostat k žádným citlivým údajům typu heslo, je na druhou stranu možné získat některé údaje, které lze později využít k jinému druhu útoku.
  • Záplaty a podrobnější informace se nacházejí v bezpečnostním bulletinu MS05-033.

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Services For Unix 2.2, 3.0 a 3.5

  • Poslední opravu, kterou obsahuje balíček záplat pro tento měsíc, je kumulativní oprava ISA serveru, která vedle doposud opravených nedostatků, likviduje i dva nové problémy. Ten první se týká problémů v ISA Server 2000, který s nakládáním s některými HTTP požadavky. Útočník může vytvořit takový druh HTTP požadavku, který dokáže nakazit cache ISA serveru. Na základě toho se pak může pokusit obejít některá omezení a dostat se k obsahu, ke kterému neměl původně přístup. Chyba může být zneužita pouze z IP adresy či domény stejné jako je napadaný server.

    Druhý řešený problém zamezuje nedovolenému zvýšení práv uživatele. Celý nedostatek spočívá v tom, jak ISA server ověřuje spojení prostřednictvím služby NetBios v rámci paketového filtru. Chyba může být zneužita, pokud se útočníkovi podaří spojit pře protokol NetBios s ISA serverem.
  • Pro podrobnější informace a odkazy na záplaty neváhejte využít bezpečnostní bulletin MS05-034.

    Postižené systémy:
    ISA Server 2000 SP2
    Small Business Server 2000 SP3
    Small Business Server 2000 SP4
    Small Business Server 2003 Gold
    Small Business Server 2003 SP1

    Odstraňte škodlivé kódy

    Microsoft také nezapomněl na vydání další verze svého software na odstranění škodlivého software. Co je nového a odkazy na stažení můžete najít zde.

    Automatické vyhledání a instalace záplat

    K instalaci záplat také můžete využít stránek Windows update pro OS Windows či Office update pro kancelářské programy (měli byste však mít po ruce instalační CD). Výhodou je, že vám bude proskenován systém a na základě takto získané informace budou instalovány pouze potřebné opravy.

    Nejčtenější

    Oumuamua může být mimozemskou časovou schránkou, řekl expert v Rozstřelu

    Astronom Petr Scheirich v diskusním pořadu Rozstřel.

    „Můj názor je, že jde o těleso přírodního původu, ale přál bych si, aby tomu tak nebylo,“ řekl v Rozstřelu o prvním...

    Samopal vz. 58, který není samopalem, má vyšší kadenci než kalašnikov

    Československý samopal vz. 58 V - verze pro výsadkáře se sklopnou opěrkou.

    V Československu vzniklo několik typů palných pěchotních zbraní, které se mohly směle rovnat se zahraniční konkurencí....

    Okřídlení géniové. Vrány si při pokusu zvládly vyrobit složené nástroje

    Vrány se ukazují jako stále chytřejší a chytřejší.

    Nový experiment naznačuje, že bychom měli přehodnotit rčení chytrý jako liška na chytrý jako vrána. Skupina...

    Nové implantáty dovedou zlepšit paměť, ale nesmí se k nim dostat hacker

    DBS

    Elektronické implantáty by mohly podle neurovědců již v příštím desetiletí pomáhat vylepšovat paměť, zejména pacientům...

    Změna v TV vysílání se blíží. Vše, co musíte vědět o přechodu na DVB-T2

    Nelamte si s DVB-T2 hlavu. Vše podstatné se dozvíte níže.

    Informační kampaň k přechodu na nový standard pozemního televizního vysílání DVB-T2 může stát až 350 milionů korun. V...

    Další z rubriky

    IBM koupí firmu Red Hat. V cloudu zaútočí i na Microsoft a Amazon

    Red Hat teď patří pod IBM

    Americká firma IBM se dohodla na koupi softwarové společnosti Red Hat za 34 miliard dolarů (770,4 miliardy korun) v...

    Aplikace vám poradí, kdy zalít kytky, jiná dá nápad na domácí výrobky

    Tablet pro práci i zábavu

    Vyzkoušejte aplikaci s neustále rozšiřovanou databází zajímavých nápadů na domácí výrobky, průvodce historickými...

    Tipy a triky pro Windows 10: kde v systému najdete novinky či jak na rohy

    Tipy a triky pro Windows 10

    Microsoft přímo ve Windows ukazuje, jaká nová vylepšení v systému provedl. Ukážeme vám i jak deaktivovat aktivní rohy,...

    Najdete na iDNES.cz