Błędy i poprawki: rzadka awaryjna poprawka z firmy Microsoft

Microsoft mógł czuć się jak mały holenderski chłopiec przez ostatni miesiąc, zatykając dziury zwykłymi łatkami i rzadkimi rozwiązaniami poza cyklem próba zapobiegania atakom przez napastników.

Poprawka pozakolekcyjna, krytyczna dla wszystkich wersji Internet Explorera w wersjach 2000, XP i Vista, dotyczy rozwiązywania przez IE wadliwych formantów ActiveX utworzonych przy użyciu biblioteki Active Template Library firmy Microsoft (ATL), narzędzie dla programistów zawarte w Visual Studio. Zagrożone komputery mogą zostać trafione atakiem "drive-by-download". Ta poważna luka dotyczy wielu formantów ActiveX. Na przykład firma Adobe potwierdziła w swojej witrynie bezpieczeństwa, że ​​jego kontrolki Shockwave i Flash Player ActiveX "wykorzystują słabe wersje ATL" i że pracuje nad poprawką. Problem ten dotyczy także IE w systemach Windows Server 2003 i 2008, ale jest oceniany jako umiarkowanie ostry w tych systemach.

Poprawki z zerową datą

Regularne wydanie poprawki Microsoftu firmy Microsoft zawierało wiele innych luk, w tym lukę zero-day, która miała zostały zaatakowane i objęły formant ActiveX używany przez Microsoft Video. Chociaż łatka wyłączyła kontrolę, która nie służyła uzasadnionemu celowi, nie usunęła ona podstawowej luki. Poprawka, krytyczna dla systemu Windows XP i umiarkowana dla systemu Windows Server 2003, nie ma wpływu na system Windows 2000, Vista ani Server 2008.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Zatrzymano drugą poprawkę ataki na przetwarzanie zawartości QuickTime przez Microsoft DirectShow. Ataki, które nie zależały od zainstalowania programu QuickTime firmy Apple, mogą być wyzwalane, gdy ofiara otworzyła lub obejrzała zatruty plik QuickTime. DirectX 7, 8.1 i 9.0 w systemie Windows 2000 wymagają poprawki, podobnie jak DirectX 9.0 na XP i Server 2003. Vista i Server 2008 otrzymują przepustkę.

Inne krytyczne poprawki rozwiązały problem z tym, jak wszystkie obsługiwane wersje Windows obsługują czcionki w Strony internetowe, e-mail i dokumenty Office. Luki w silniku fontów Embedded OpenType nie zostały zaatakowane przed wydaniem łaty, ale są dozy.

Poważna usterka w składniku Microsoft Office Web Components wiąże się z problemem ActiveX, który dopuszcza ataki na użytkowników IE. Szeroka gama komponentów i wersji Office wymaga poprawki; Pełna lista oprogramowania, którego dotyczy luka, znajduje się na stronie Microsoft.

Możesz pobrać wszystkie wyżej wymienione poprawki za pośrednictwem witryny Windows Update.

Adobe i Firefox Patches

Microsoft nie był jedynym, który cierpiał z powodu zerowej w ciągu ostatniego miesiąca. Adobe, inny popularny cel, wydał poprawki do Flasha (na wszystkich platformach), a także do Czytnika, Powietrza i Acrobata, po zgłoszeniach ataków, które wykorzystywały zatrute pliki PDF do wykorzystania błędów Flasha. Aby chronić się przed atakami wielorękowymi, pamiętaj o zaktualizowaniu wszystkich aplikacji Adobe. Pobierz Flash w wersji 10.0.32.18 i najnowszą stronę Air at Adobe. W przypadku programu Reader zaktualizuj program do wersji 9.1.3, otwierając program i wybierając opcję Narzędzia, sprawdź aktualizacje. Zobacz biuletyn zabezpieczeń firmy Adobe, zawierający odsyłacze do aktualizacji Acrobata dla systemów Mac i Windows oraz dodatkowe informacje.

Aby uzupełnić swoje obowiązkowe informacje, użytkownicy Firefoksa powinni zaktualizować program do najnowszej dostępnej wersji, aby zastosować wiele poprawek dla różnych dziur w wersjach 3 i 3.5, w tym poważna usterka obsługi JavaScript w wersji 3.5, a także problem wpływający na używanie przez Firefoksa certyfikatów SSL do szyfrowania bezpiecznych połączeń internetowych (3.5 było już bezpieczne przed tą wadą). Kliknij Pomoc, sprawdź aktualizacje, aby potwierdzić, że masz najnowszą wersję. Jeśli nadal używasz wersji 3, odwiedź witrynę Firefox, aby pobrać 3.5; to stosunkowo bezbolesne ulepszenie.