Microsoft załatał 12 luk

Koncern z Redmond udostępnił właśnie kolejny pakiet uaktualnień dla swoich produktów. Tym razem poprawek było w sumie 12 i usuwały one błędy w Windows, MS Office oraz Internet Explorerze. Co ważne, aż trzy krytyczne luki załatano w najnowszej wersji przeglądarki Microsoftu - IE8.

W sumie 7 z 12 luk uznano za błędy krytyczne (cztery kolejne były "poważne", zaś jedna - "umiarkowanie niebezpieczna"). Ale zdaniem specjalistów ds. bezpieczeństwa najważniejszym z udostępnionych właśnie uaktualnień, jest zbiorcza poprawka dla IE, opisana w biuletynie MS09-072 (usuwa ona aż pięć różnych błędów wykrytych w tej aplikacji).

"To właśnie to uaktualnienie jest w tym miesiącu najważniejsze - nim należy zająć się w pierwszej kolejności" - mówi Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security. Zgadza się z nim Richie Lai, dyrektor działającego w ramach firmy Qualys zespołu zajmującego się lukami w oprogramowaniu: "MS09-072 dotyczy IE, czyli oprogramowania, które ma największą powierzchnię ataku. Co więcej - takie luki zwykle są wykorzystywane w klasycznych atakach typu drive-by"".

Warto dodać, ze poprawka ta usuwa m.in. wykrytą kilka dni temu lukę typu zero-day w IE (krótko po opublikowaniu informacji o błędzie w Sieci pojawił się stosowny exploit). Storms jest pod wrażeniem tego, jak szybko uporał się z tym problemem. "To chyba rekordowy wynik w przypadku tej firmy - przygotowali poprawkę w niespełna dwa tygodnie po pojawieniu się pierwszych informacji o luce. Zwykle zajmuje im to miesiąc czy nawet więcej. Być może nieco zmotywował ich fakt, że mamy okres przedświąteczne i wiele osób robi zakupy w Sieci - a to zawsze nieco zwiększa ryzyko ataku. Niewykluczone jednak, że może być inny powód tak szybkiego przygotowania poprawki - może Microsoft wiedział o tym błędzie już wcześniej?" - komentuje przedstawiciel nCircle.

Eksperci zgadzają się też co do tego, że jednym z najważniejszych wydarzeń związanych z bieżącym pakietem poprawek jest fakt, iż Microsoft załatał aż trzy błędy w najnowszej wersji - IE8 (co więcej - dwie z nich występują jedynie w tej wersji). "Założę się, że programistów Microsoftu poważnie to zasmuciło. Ale najważniejsze pytanie brzmi - jak właściwie te błędy się tam znalazły? Gdyby te same luki występowały np. w IE7, zawsze można by powiedzieć, że to jakieś błędy z przeszłości. Ale wygląda na to, że są w nowym kodzie - a to poddaje w wątpliwość skuteczność programu SDL" - wyjaśnia Storms. Przypomnijmy - SDL (czyli Security Development Lifecycle) to nowa procedura tworzenia oprogramowania Microsoftu, w której szczególny nacisk położono na bezpieczeństwo oprogramowania. "Oczywiście, może być tak, że błędy znaleziono w jakimś starym kodzie - ale jak w takim razie pojawiły się one w finalnej wersji programu?" - zastanawia się Storms.

W oficjalnym komunikacie Microsoft napisał, iż spodziewa się że działające exploity na załatane właśnie błędy mogą pojawić się w najbliższych godzinach - dlatego też koncern zdecydowanie zaleca użytkownikom zainstalowanie udostępnionych poprawek.

Co do pozostałych luk, zdania ekspertów są podzielone. Storms uważa, że żaden z nich nie jest naprawdę groźny dla użytkowników, ponieważ w każdym przypadku występuje jakiś czynnik, znacząco utrudniający przeprowadzenie ataku. Ale przedstawiciele Qualys nie do końca się z tym zgadzają - "MS09-070 też wymaga sporo uwagi. W biuletynie tym opisano luki w Microsoft Active Directory, czyli oprogramowaniu, które jest powszechnie wykorzystywane w wielu firmach. Dlatego też uważamy, że sprawa jest poważna" - mówi Amol Sarwate, specjalista ds. bezpieczeństwa.

Wolfgang Kandek, szef działu technologicznego Qualys, dodaje też, że warto szybko zainstalować poprawki opisane w biuletynie MS09-073 - głównie dlatego, że usuwają one luki w bardzo popularnym oprogramowaniu (m.in. w dostarczonym ze wszystkimi wersjami Windows prostym edytorze tekstowym WordPad).

Specjaliści zgadzają się za to co do tego, że w świetle najnowszych poprawek świetnie wypadł najnowszy system Microsoftu - żadna z udostępnionych właśnie łat nie jest przeznaczona dla tego OS-u (jeśli nie liczyć wspomnianych uaktualnień dla IE8). "To dobry znak. Choć oczywiście jest jeszcze zdecydowanie zbyt wcześnie, by powiedzieć, że to naprawdę bezpieczny system - warto pamiętać, że z Vistą na początku było podobnie" - komentuje Jason Miller, ekspert z firmy Shavlik Technologies.

Więcej informacji o najnowszych poprawkach dla produktów Microsoftu można znaleźć na stronie firmy. Najwygodniejszą metodą zainstalowania uaktualnień jest skorzystanie z serwisu Microsoft Update.