Langyos május a frissítések terén

Windows és Office javítások érkeztek

A Microsoft a májusi hibajavító kedden két kritikus veszélyességű sebezhetőséget szüntetett meg. Az egyik a Windowst, míg a másik az Office szoftvercsomagot érinti.

_{2010.05.12 13:33computerworld.hu}

Kinyomtatom

Fórumozok róla

+Nagyobb betűméret-Kisebb betűméret

A Microsoft már korábban jelezte, hogy májusban nem kell olyan mértékű frissítéssel számolni, mint áprilisban. A múlt hónapban a cég tizenegy (köztük kilenc kritikus veszélyességi besorolással ellátott) biztonsági közleményt tett elérhetővé, amelyek összesen 25 sérülékenység megszüntetését segítették.

A tegnapi hibajavító kedd ennél sokkal nyugodtabbra sikerült, hiszen a Microsoft mindössze két sebezhetőséget orvosolt. Azonban ezek mindegyike kritikus veszélyességűnek minősül, így a frissítések telepítésére minél hamarabb célszerű sort keríteni.

A Microsoft májusi hibajavításai közül az egyik a cég levelezőklienseit érinti, így többek között az Outlook Express valamint a Windows Mail felhasználóinak is érdemes résen lenniük. A másik frissítés pedig a Visual Basic for Applications, illetve az Office irodai szoftvercsomagok esetében segít befoltozni egy biztonsági rést. Mindkét hiba lehetőséget biztosíthat a támadók számára jogosulatlan távoli kódfuttatásra, illetve az érintett rendszerek feletti irányítás teljes átvételére.

A Microsoft májusi biztonsági közleményei a következők:

MS10-030

A Microsoft tájékoztatása szerint az Outlook Express, a Windows Mail és a Windows Live Mail egy olyan sebezhetőséget tartalmaz, amely lehetőséget adhat a támadók számára, hogy az érintett számítógépeken jogosulatlan műveleteket hajtsanak végre, tetszőleges kódokat futtassanak, vagy akár teljes mértékben átvegyék az azok feletti irányítást.

A sérülékenységet az okozza, hogy a levelezőkliensek esetenként nem megfelelően kezelik az e-mail szerverektől érkező üzeneteket (válaszokat). Ahhoz, hogy a támadók kihasználják a hibát nincs szükség authentikációra, mindössze - a kapcsolatfelvétel során - speciálisan összeállított hálózati csomagokat kell küldeniük a kliensek felé. A biztonsági rés POP3 valamint IMAP használatakor is kockázatot jelent.

MS10-031

A Microsoft a Visual Basic for Applications esetében egy kritikus veszélyességű biztonsági rést foltozott be. A hiba mind a Visual Basic for Applications-t, mind az azzal kompatibilis alkalmazások kapcsán veszélyt jelent. A cég szerint amennyiben a felhasználó rendszergazdai jogosultságok mellett használja a számítógépét, akkor a támadók kódokat futtathatnak, fájlműveleteket hajthatnak végre, illetve új felhasználói fiókokat hozhatnak létre, és ezáltal tulajdonképpen teljes mértékben átvehetik az irányítást a kiszemelt rendszerek felett.

A sebezhetőség akkor jelentkezhet, amikor a Visual Basic for Applications ActiveX-vezérlőket igyekszik megtalálni. A hiba egy, a VBE6.DLL állománnyal összefüggésbe hozható memóriakezelési rendellenességre vezethető vissza. A sérülékenység miatt a Visual Basic for Applications valamint az Office XP, az Office 2003 és a 2007 Microsoft Office System frissítésére is szükség van. A sebezhetőség az Office szoftvercsomagok esetében fontos veszélyességi besorolást kapott.

A Microsoft frissítései a cég weblapjairól tölthetők le, valamint az automatikus frissítési funkciók segítségével telepíthetők. A hibajavításokkal kapcsolatban további információk az Isidor Biztonsági Központ weboldalain olvashatók.

Hozzáadom a könyvjelzőhözKüldd ide: DeliciousKüldd ide: DiggKüldd ide: FacebookKüldd ide: myspaceKüldd ide: twitter