Microsoft-ov "patch utorkom": 10 ispravki za 34 ranjivosti

Vesti, 10.06.2010, 01:24 AM

Prošle nedelje smo najavili da će ovomesečno Microsoft-ovo ažuriranje prvog utorka u mesecu biti obimno jer donosi 10 ispravki za najmanje 34 dokumentovane ranjivosti.

Tri ažuriranja su označena kao „kritična“ zbog opasnosti od napada daljinskim izvršenjem koda. Pogođeni proizvodi OS Windows, MS Office, Internet Explorer i Internet Information Services (IIS).

Paket zakrpa za ovaj mesec obezbeđuje i zaštitu od poznatog cross-site scripting bug-a u Microsoft SharePoint Server i od propusta u Internet Explorer-u o kojem se javno raspravljalo a koji se tiče curenja podataka.

Microsoft apeluje na korisnike da posebnu pažnju obrate na ažuriranja MS10-033 (Windows), MS10-034 (ActiveX killbits) i MS10-035 (Internet Explorer) jer oni sadrže ispravke za probleme koje hakeri mogu da iskorišćavaju u skorijoj budućnosti.

Evo kratkog pregleda ova tri ažuriranja:

MS10-033 - Ovo ažuriranje rešava dve privatno prijavljene ranjivosti u Microsoft Windows. Ove ranjivosti mogu omogućiti daljinsko izvršenje koda ako korisnik otvori posebno napravljen media fajl ili primi posebno napravljen streaming sadržaj sa web sajta ili bilo koju aplikaciju koja isporučuje web sadržaj. Ovo je ocenjeno kao „kritično“ za Quartz.dll (DirectShow) na Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, and Windows Server 2008; „Kritično“ za Windows Media Format Runtime na Microsoft Windows 2000, Windows XP, i Windows Server 2003; „Kritično“ za Asycfilt.dll (COM komponenta) na Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, i Windows Server 2008 R2; i „Važno“ za Windows Media Encoder 9 x86 i x64 na Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, i Windows Server 2008.
MS10-034 - Ovo ažuriranje odnosi se na dve privatno prijavljene ranjivosti za Microsoft-ov softver. Ovo ažuriranje je ocenjeno kao „kritično“ za sva podržana izdanja Microsoft Windows 2000, Windows XP, Windows Vista, i Windows 7, i „umereno“ za sva podržana izdanja Windows Server 2003, Windows Server2008, i Windows Server 2008 R2. Ove ranjivosti mogu omogućiti daljinsko izvršenje koda ako korisnik pomoću Internet Explorer-a pregleda posebno napravljenu web stranu sa specifičnim ActiveX control.
MS10-035 - Ispravke pet privatno prijavljenih ranjivosti i jedne javno objavljene ranjivosti u Internet Explorer-u. Njaozbiljnije ranjivosti mogu omogućiti daljinsko izvršenje koda ako korisnik pregleda posebno napravljenu web stranu koristeći pri tom Internet Explorer. Korisnici čiji su nalozi podešeni da imaju manje korisničkih prava na sistemu mogu biti manje pogođeni ovim od korisnika koji rade sa pravima administratora. Ovo sigurnosno ažuriranje nosi oznaku „kritično“ za Internet Explorer 6 Service Pack 1 na Microsoft Windows 2000 Service Pack 4; „Kritično“ za Internet Explorer 6, Internet Explorer 7, i Internet Explorer 8 za Windows korisnike; i oznaku „Umereno“ za Internet Explorer 6, Internet Explorer 7, i Internet Explorer 8 na Windows serverima.

Tehnički direktor Qualys-a, Wolfgang Kandek, primetio je da 4 od deset ažuriranja odnose na 'zero-day' pitanja, a najznačajnijim se čini MS10-035, koji popravlja 'zero-day' koji je objavio Core Security za ranjivost koja je prvobitno publikovana u februaru 2010. godine. Ovo ažuriranje takođe popravlja Pwn2Own ranjivost koju je iskoristio istraživač Peter Vreugdenhil što mu je donelo pobedu na ovogodišnjem hakerskom takmičenju CanSecWest Pwn2Own. Tokom tog takmičenja Vreugdenhil je premostio sve ugrađene zaštite kao što DEP i ASLR kombinujući nekoliko načina napada.

MS10-040 je takođe zanimljiv. On štiti od daljinskog iskorišćavanja ranjivosti u svim verzijama IIS, ali on je prisutan jedino ako administrator download-uje i instalira Channel Binding Update i omogući Windows Authentication. To dalje zahteva nalog na sistemu, smanjenje broja ranjivih host-ova na malu grupu. Microsoft je ovo ažuriranje označio kao „važno“.

Preuzeto sa