Close

10/10/2012

Microsoft vydal záplaty, na Windows sa dalo zaútočiť cez dokumenty

Microsoft uvoľnil k stiahnutiu sedmičku záplat, ktoré opravujú dve desiatky chýb v jeho produktoch.

 Spoločnosť Microsoft ani v októbri neporušila tradíciu a druhý utorok v mesiaci vydala nádielku svojich bezpečnostných záplat. Tentoraz sa ponúka k stiahnutiu a nainštalovaniu sedmička z nich, pričom sa riešili problémy v serverových produktoch, Windows aj Office.

Word aj Works v ohrození

Jedna zo záplat, podrobnejšie popísaná vo vestníku Microsoft Security Bulletin MS12-064, je označená ako Kritická. Rieši závažný problém v produkte Word, ktorý je súčasťou kancelárskeho balíka Office. Zneužiť sa dá napríklad prehliadaním, resp. otvorením špeciálne upraveného dokumentu RTF. Záplata upravuje spôsob, akým balík Office narába s pamäťou keď vyhodnocuje špeciálne upravené súbory.

Aktualizácia je Kritická pre všetky podporované edície Microsoft Word 2007 a Microsoft Word 2010. Dôležitá je pre  Microsoft Word 2003, všetky podporované verzie prehliadača Microsoft Word Viewer, tiež Microsoft Office Compatibility Pack či Microsoft Office Web Apps.

Bezpečnostnú záplatu si vyžiadal aj problém odhalený v produkte Microsoft Works – Microsoft Security Bulletin MS12-065. Chyba sa dá zneužiť na nezaplátanom systéme napríklad tak, že používateľ otvorí špeciálne upravený dokument Wordu pomocou Works. Útočník potenciálne získa zhodné práva ako má daný používateľ. Aktualizácia je Dôležitá pre Microsoft Works 9. Koriguje spôsob, akým Works konvertuje dokumenty Wordu.

Aj tretia záplata v poradí (vestník Microsoft Security Bulletin MS12-066) sa týka kancelárskeho softvéru. Problém sa riešil v Microsoft Office, komunikačných a serverových riešeniach Microsoftu aj webovo orientovanom Office Web Apps. Útočník môže ohroziť systém tak, že pošle používateľovi špeciálne upravený obsah. Záplata je označená ako Dôležitá pre produkty Microsoft InfoPath 2007, Microsoft InfoPath 2010, Microsoft Communicator 2007 R2, Microsoft Lync 2010, Microsoft Lync 2010 Attendee, Microsoft SharePoint Server 2007, Microsoft SharePoint Server 2010, Microsoft Groove Server 2010, Microsoft SharePoint Windows Services 3.0, Microsoft SharePoint Foundation 2010 a tiež Microsoft Office Web Apps 2010.

Ďalšia záplata by mala riešiť problémy odhalené v Microsoft FAST Search Server 2010 pre SharePoint. Používateľ však má byť v ohrození len v prípade, ak je povolený Advanced Filter Pack. Štandardne je blokovaný. Záplata je Dôležitá pre všetky podporované edície FAST Search Server 2010 pre SharePoint. Aktualizujú sa ňou príslušné knižnice Oracle Outside In za „bezproblémové“ – Microsoft Security Bulletin MS12-067.

Microsoft uvoľnil ešte ďalšie tri záplaty. Jedna z nich (vestník Microsoft Security Bulletin MS12-068) rieši problém v jadre systémov Windows. Koriguje sa spôsob, akým Windows kernel narába s objektmi v pamäti. Chyba sa dala zneužiť napríklad spustením špeciálne upravenej aplikácie na nezaplátanom systéme. Aktualizácia je Dôležitá pre Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 aj Windows Server 2008 R2.

Predposlednou záplatou pre mesiac október je tá, ktorá riešila problém vo Windows, resp. v Microsoft Kerberose. Koriguje sa ňou spôsob, akým implementácia Kerberosu spracováva špeciálne vytvorené sedenia. Záplata je Dôležitá pre Windows 7 a Windows Server 2008 R2 – Microsoft Security Bulletin MS12-069.

Záverečná záplata (bližšie vo vestníku Microsoft Security Bulletin MS12-070) rieši problém v produkte Microsoft SQL Server na systémoch, na ktorých bežia služby SSRS (SQL Server Reporting Services). Koriguje sa spôsob, akým SQL Server Report Manager validuje vstupné parametre.

Spoločnosť zároveň uvoľnila novú verziu svojho bezplatného bezpečnostného nástroja Microsoft Malicious Software Removal Tool. Odhaľovať a odstraňovať by mal vedieť ďalšie dve novinky: Win32/Nitol (rodina trojanov) a Win32/Onescan (spadá medzi programy tváriace sa, že hľadajú malvér a zobrazujúce falošné varovania).

Aplikácia s číslom verzie 4.13 sa dá stiahnuť z nasledovnej stránky, resp. cez Windows Update.

Stalo sa už tradíciou, že Microsoft zároveň so záplatami vydáva aj súhrnný DVD5 ISO obraz disku, ktorý obsahuje všetky verzie záplat týkajúcich sa Windows. Tentoraz súbor Windows-KB913086-201210.iso pokrýva vestníky: MS12-053, MS12-054, MS12-055, MS12-063, MS12-068, MS12-069 a KB články: KB2705219, KB2723135, KB2724197, KB2731847, KB2743555, KB2744842.

Stiahnuť sa dá z nasledovnej stránky: October 2012 Security Release ISO Image.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *