Microsoft załatał poważną lukę w Windows

Koncern z Redmond udostępnił kolejny pakiet poprawek dla swoich produktów. Tym razem jest ich wyjątkowo niewiele - Microsoft opublikował dwa biuletyny bezpieczeństwa, usuwające w sumie tylko 3 błędy. Mimo to warto je szybko zainstalować, bo jeden błąd może już wkrótce zostać wykorzystany do atakowania użytkowników Windows.

Warto przypomnieć, że poprzedni - grudniowy - zestaw łat Microsoftu był w porównaniu z wczorajszym gigantyczny. Przed miesiącem koncern opublikował w 17 biuletynów, usuwających łącznie 40 luk.

Jedna krytyczna, dwie ważne

Z trzech załatanych właśnie błędów tylko jeden ma status luki "krytycznej" (tym mianem Microsoft określa najpoważniejsze błędy, które mogą zostać w łatwy sposób wykorzystany do uruchomienia w systemie złośliwego kodu). Dwa pozostałe uaktualnienia uznane zostały przez koncern za "ważne".

Specjaliści ds. bezpieczeństwa zalecają zainstalowanie w pierwszej kolejności aktualizacji opisanych w biuletynie MS11-002. Usuwają one z Windows dwa błędy - groźniejszy z nich (luka krytyczna) występuje w kontrolce ActiveX odpowiedzialnej za współpracę z oprogramowania MDAC (Microsoft Data Access Components). Z informacji dostarczonych przez Microsoft wynika, że luka ta może zostać wykorzystana do zaatakowania systemu poprzez złośliwą stronę WWW - wystarczy skłonić użytkownika by wyświetlił ją w przeglądarce Internet Explorer.

Sprawa jest o tyle poważna, że na taki atak narażone są praktycznie wszystkie wersje Windows, włącznie z XP SP3 (najpopularniejszy OS na świecie), a także Vista oraz Windows 7. Podatne są również systemy z serwerowej linii Microsoftu (aczkolwiek są one wyposażone w dodatkowe zabezpieczenia, dlatego w ich przypadku problem nie jest krytyczny).

Ataki najpóźniej za miesiąc?

Jak najszybsze zainstalowanie aktualizacji MS11-002 zaleca również Microsoft - koncern prognozuje, że w ciągu najbliższych 30 dni internetowi przestępcy prawdopodobnie zaczną wykorzystywać opisaną powyżej lukę do atakowania użytkowników.

Kolejny biuletyn, MS11-001, jest zdecydowanie mniej istotny (co oczywiście nie znaczy, że nie należy go instalować), choćby dlatego, że dotyczy wyłącznie jednej wersji Windows - Visty. Usuwa on poważną lukę z aplikacji Backup Manager. Jest to tzw. błąd "DLL load hijacking", jeden z wielu podobnych jakie zostały ujawnione w sierpniu ubiegłego roku. Sprawa jest o tyle ciekawe, że przed kilkoma tygodniami Microsoft deklarował, że usunął już wszystkie takie problemy ze swojego oprogramowania. Jak widać, okazało się, że deklaracja ta była zdecydowanie przedwczesna...

Wciąż jest co łatać...

Warto dodać, że niewielka liczba udostępnionych poprawek wcale nie oznacza, że Microsoft nie ma już nic do łatania - koncern wciąż nie rozwiązał kilku istotnych problemów z bezpieczeństwem swoich aplikacji. Na patcha wciąż czekają m.in. krytyczna luka w zabezpieczeniach Internet Explorera oraz poważny błąd w Windows XP, Vista, Server 2003 oraz Server 2008.

Najnowszy pakiet aktualizacji Microsoftu można pobrać np. za pomocą mechanizmu Microsoft Update.


Zobacz również