Wakacyjne patche Microsoftu

Kolejny pakiet aktualizacji dla swoich produktów, opublikowany właśnie przez koncern z Redmond zawiera aż 7 poprawek, w tym 2 pozycje oznaczone jako krytyczne. Microsoft ostrzega jednocześnie, iż najgroźniejsze luki mogą doprowadzić do przejęcia przez potencjalnego napastnika zdalnej kontroli nad zaatakowaną maszyną z systemem Windows. Okazuje się, iż wśród opisanych luk, oznaczonych jedynie jako 'important', znajdują się również bardzo poważne błędy, między innymi związane z niedawnym atakiem na serwery Internet Information Server oraz trojanem Download.Ject. Wygląda na to, że jest jednak bardziej krytycznie.

Biuletyny bezpieczeństwa oznaczone numerami od MS04-018 do MS04-024 zostały opublikowane zgodnie z nową polityką koncernu, opierającą się na comiesięcznych pakietach aktualizacji oprogramowania. Najgroźniejsze błędy, na które udostępniono łaty opisano w biuletynach MS04-022 oraz MS04-023. Określone przez Microsoft jako krytyczne, zdaniem jego przedstawicieli mogą doprowadzić do przejęcia przez potencjalnego napastnika zdalnej kontroli nad zaatakowaną maszyną z systemem Windows i uruchomienie na niej dowolnego kodu.

Krytyczne dziury

Luka, której dotyczy poprawka MS04-022 znajduje się w module Windows Task Scheduler, komponencie systemu, który pozwala użytkownikowi na zaplanowanie wykonywania poleceń, uruchamiania programów oraz skryptów o określonej porze. Błąd przepełnienia bufora w Task Schedulerze, umożliwia napastnikowi umieszczenie dowolnego kodu na zaatakowanej maszynie i w efekcie przejęcie nad nią zdalnej kontroli. Task Schedulera można 'podejść' na 2 sposoby: umieszczając specjalny plik w kodzie strony i zmuszając użytkownika do jej odwiedzenia lub też przypuścić atak na konkretny plik modułu o rozszerzeniu JOB.

Biuletyn bezpieczeństwa oznaczony numerem MS04-023 opisuje natomiast dwie niebezpieczne i nie zauważone do tej pory luki w module pomocy HTML dla systemu Windows. Jedna z nich odkryta w komponencie showHelp charakteryzuje się błędem w niewłaściwym sposobie przetwarzania plików pomocy w formacie CHM. Pozostawiona bez załatania umożliwia napastnikowi zaatakowanie komputera przy pomocy odpowiednio spreparowanych adresów URL (uniform resource locator). Aby zostały one wykorzystane, użytkownik musi kliknąć na taki adres. Może on być umieszczony na stronie internetowej lub też w wiadomości pocztowej w formacie HTML. Druga z dziur opisanych w biuletynie MS04-023 dotyczy sposobu, w jaki system Windows sprawdza dane w plikach pomocy. Można ją wykorzystać poprzez ukrycie odpowiednio spreparowanego kodu w treści strony internetowej lub wiadomości pocztowej w formacie HTML.

Tylko ważne ale równie krytyczne

W comiesięcznym pakiecie aktualizacji bezpieczeństwa, Microsoft zamieścił również poprawki dla 4 dziur oznaczonych jako 'important', których wykorzystanie może narazić użytkownika na wyciek danych z jego komputera. Wśród nich znalazł się patch powiązany z niedawnym atakiem na serwery IIS (Internet Information Server), który umożliwiał hackerom umieszczenie dodatkowego kodu na każdej stronie HTML znajdującej się na danym serwerze. To właśnie biuletyn bezpieczeństwa o numerze MS04-021 powinien znaleźć się w centrum zainteresowania użytkowników IIS 4.0 oraz systemu Windows NT 4.0. Zdaniem wice-prezesa Anti-Virus Emergency Response Team w firmie McAfee, Vincenta Gullotto, pomimo określenia stopnia zagrożenia jedynie na 'important', eksperci zajmujący się bezpieczeństwem powinni zwrócić uwagę właśnie na ten biuletyn. "Pomimo, iż luka dotyczy jedynie firm, które korzystają z Windows NT 4.0 i IIS 4.0, jest nadal bardzo niebezpieczna. Daje ona hackerom całkowitą kontrolę nad zaatakowanymi serwerami, nie wymagając od użytkownika wykonywania jakichkolwiek, dodatkowych działań" - twierdzi Gullotto.

Kolejną znaczącą aktualizacją wydaje się być patch łatający błędy w komponencie Shell API (application programming interface). Zauważony błąd pozwalał na przejęcie kontroli nad w pełni zaktualizowanym systemem Windows, wykorzystując do tego lekko zmodyfikowaną wersję trojana Download.Ject. Dziura została wykryta i opisana przez Jelmera Kuperusa - duńskiego eksperta ds. bezpieczeństwa. W lipcowym pakiecie bezpieczeństwa Microsoftu znalazł się ponadto zbiorczy patch dla klienta pocztowego Outlook Express 5.5 oraz 6.0 (MS04-018).

Więcej informacji: Lipcowy biuletyn bezpieczeństwa Microsoft


Zobacz również