Wtorek naprawia poważne dziury zerowe, pozostawia kolejną otwartą

W dniu dzisiejszym firma Microsoft naprawiła poważną, niedopasowaną lukę w kontroli wideo ActiveX, a także inne krytyczne luki związane z plikami i czcionkami QuickTime. Ale krytyczna dziura od zera w innym formantu ActiveX pozostaje niezałatwiona.

Najważniejsza poprawka w dzisiejszym Patchu Wtorek naprawia lukę ujawnioną osiem dni temu w formancie ActiveX Microsoft Video. Wada, która była pod aktywnym atakiem, ma krytyczne znaczenie dla Windows XP i umiarkowana dla Windows 2003. Poprawka MS09-032 wyłącza nieużywaną (do celów zgodnych z prawem) kontrolę, aby zapobiec potencjalnym atakom, ale tak naprawdę nie naprawia podstawowej luki.

Uwaga: od 14.00 firma Microsoft nie opublikowała jeszcze poszczególnych linków biuletynów (dla MS09-032 itp.). Do tego czasu linki te prowadzą do strony głównej TechNet.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Druga poprawka zamyka kolejną niewykorzystaną dziurę, w tym sposób, w jaki program Microsoft DirectShow przetwarza QuickTime zadowolony. Poprawka MS09-028 zamyka trzy błędy bezpieczeństwa, ujawnione w maju, które mogą zostać wywołane podczas otwierania lub nawet podglądu zatrutego pliku QuickTime. Dotyczy to systemów Windows XP, 2000 i Server 2003, niezależnie od tego, czy QuickTime Apple jest zainstalowany na podatnym komputerze. Więcej informacji można znaleźć w biuletynie MS09-028.

Dwie krytyczne luki w silniku czcionek OpenType firmy Microsoft Embedded są zamykane trzecią łatą, MS09-029. O ile żadna z luk nie jest wymieniona jako pod aktywnym atakiem, obaj otrzymują niebezpieczny "Spójny kod prawdopodobnego kodu" w indeksie Microsoft Exploitability Index. Windows 2000, XP, Server 2003, Vista i Server 2008 są zagrożone.

Trzy inne łatki zamykają otwory ocenione jako ważne, a nie krytyczne. Poprawka do pakietu Office 2007 zamyka lukę w programie Microsoft Office Publisher, którą można zaatakować po otwarciu szkodliwego pliku wydawcy (patrz MS09-030). Dwa inne dla Virtual PC i Virtual Server (MS09-033), a dla Microsoft Internet Security and Acceleration Server 2006 (MS09-031), błędy securiyt eskalacji ograniczeń uprawnień i najprawdopodobniej najbardziej dotyczą typów IT.

Te poprawki pojawi się za pośrednictwem funkcji Aktualizacje automatyczne, a Ty możesz również pobrać je ręcznie, uruchamiając usługę Microsoft Update. Należy jednak pamiętać, że jedna krytyczna usterka zgłoszona zaledwie wczoraj pozostaje nieutrwalona. Luka z zainstalowanym przez Office formantem ActiveX pozwala na ataki "drive-by-download", ale można go złagodzić, uruchamiając szybkie pobieranie Fix-it.