Rekordowe łatanie Microsoftu - 49 dziur, 16 biuletynów bezpieczeństwa

Microsoft wydał największą w historii paczkę aktualizacji, zawierającą aż 49 poprawek błędów w produktach, takich jak Windows, Internet Explorer i MS Office. Jedna z nich naprawia błąd, który wykorzystał autor robaka Stuxnet.

Microsoft poinformował, że spośród 16 biuletynów bezpieczeństwa, dwa powinny zostać zainstalowane szczególnie szybko. Mowa o biuletynach MS10-071 dla Internet Explorera i MS10-076 dla systemu Windows. Obie grupy zawierają łatki dla dziur pozwalających na zdalne wykonywanie kodu.

Zgadza się z tym Andrew Storms, dyrektor NCircle ds. bezpieczeństwa. Jego zdaniem, dziury tego typu pozwalają hakerom oszukać ofiarę, która po wejściu na zainfekowaną stronę nieświadomie instaluje na swoim komputerze złośliwe oprogramowanie.

Biuletyn MS10-071 naprawia 10 błędów w przeglądarce Internet Explorer. Dwa z nich oceniono jako krytyczne, ponieważ mogą zostać z łatwością użyte przez hakerów. Biuletyn MS10-076 naprawia jeden błąd krytyczny w silniku obsługującym czcionki OpenType. Zagrożeni są tutaj szczególnie użytkownicy Windows XP, bo nowsze systemy MS posiadają już technologię ASLR (ang. address space layout randomization), która utrudnia hakerom wykorzystywanie tego rodzaju błędów.

Dwa inne biuletyny, które oceniono jako najważniejsze to MS10-077, który łata dziury w .Net Framework i MS10-075 naprawiający krytyczny błąd w Windows Media Player, który pozwalał na zdalne wykonywane kodu podczas dzielenia się plikami muzycznymi w sieci.

Choć pozostałe poprawki nie otrzymały statusu "krytyczne", nie oznacza to jednak, że można je zignorować. Symantec ostrzega, że 35 z 49 naprawionych we wtorek błędów, pozwalało hakerom na uruchamianie niechcianych aplikacji na komputerze ofiary.

Biuletyn MS10-073, oznaczony przez Microsoft jako "ważny", naprawia lukę w Windows XP, która pozwoliła na sukces twórcy robaka Stuxnet. Przypomnijmy, że jest to pierwszy znany robak komputerowy używany do szpiegowania i przeprogramowywania instalacji przemysłowych. We wrześniu, świat obiegła informacja o zaatakowaniu przez Stuxnet systemów irańskiej elektrowni jądrowej w Buszehr.


Zobacz również