Windows - trzy nowe dziury?

Microsoft sprawdza doniesienia o trzech nowych, niebezpiecznych błędach w systemach z rodziny Windows - poinformowali przedstawiciele koncernu. Problemy dotyczą obsługi plików Windows Meta File (niedawno usunięto z Windows podobny błąd), obsługi przywilejów użytkownika oraz narzędzia o nazwie HTML Help Workshop.

Jak informuje Microsoft, pierwszy problem dotyczy przeglądarki Internet Explorer 5.01 SP4 zainstalowanej w systemie Windows 2000 oraz IE 5.5 SP2 w systemie Windows Millennium. Okazuje się, że przeglądarka podatna jest na atak z wykorzystaniem odpowiednio zmodyfikowanego pliku Windows Meta File (WMF). Warto przypomnieć, że Microsoft udostępnił na początku stycznia uaktualnienie usuwające podobną lukę w większości systemów z rodziny Windows (szerzej na temat problemu z WMF pisaliśmy w tekście "Dziura w WMF - do 10 stycznia jesteście zagrożeni". W tym przypadku sugerowanym przez przedstawicieli koncernu rozwiązaniem problemu jest zainstalowanie przeglądarki Internet Explorer 6 SP1. Niewykluczone jest też, że firma przygotuje uaktualnienie dla starszych wersji IE.

Drugi problem dotyczy przywilejów użytkownika w systemach Windows XP oraz Windows Server 2003. Okazało się, że w pewnych okolicznościach użytkownicy z niskim przywilejami mogą uruchamiać niektóre programy lub polecenia dostępne (przynajmniej teoretycznie) tylko dla użytkowników o najwyższych przywilejach. Jako, że problem występuje jedynie w przypadku systemów, w których nie zainstalowano najnowszych service packów, sugerowanym sposobem rozwiązania problemu jest zainstalowanie SP2 dla Windows XP lub SP1 dla Windows Server 2003.

Microsoft sprawdza również doniesienia o poważnym błędzie w narzędziu o nazwie HTML Help Workshop (służącym do tworzenia plików pomocy), który można wykorzystać do zdalnego zaatakowania systemu. Sprawa jest o tyle poważna, że w Sieci jest już dostępny exploit, z pomocą którego "napastnik" może uzyskać nieautoryzowany dostęp do systemu.

Nie wiadomo na razie, kiedy koncern udostępni uaktualnienia usuwające powyższe błędy - być może nastąpi to 14 lutego (czyli w drugi wtorek miesiąca - w tym dniu Microsoft zwykle publikuje poprawki dla swoich produktów).


Zobacz również