Masszív frissítést kapott az Excel

A Microsoftnál a márciusi hibajavító keddek érdekes módon hagyományosan lazábbra sikerülnek. A tegnapi nap sem volt kivétel ez alól, hiszen ezúttal a cég mindössze két biztonsági közleményt adott ki. Ezek közül az egyik a Windows operációs rendszerekhez tartozó egyik multimédiás alkalmazás biztonsági réséről számol be, míg a másik az Office szoftvercsomagban legutóbb felfedezett sérülékenységekről ad tájékoztatást. Kijelenthető, hogy márciusban az Excel került leginkább górcső alá, hiszen a nyolc sebezhetőségből hét ezt az alkalmazást érinti. Mivel a táblázatkezelő sérülékeny összetevői egyéb termékekben is helyet kaptak, ezért például a SharePoint Server 2007 frissítése is szükségessé vált.

Mindkét közlemény fontos veszélyességi besorolással rendelkezik. Ez egyben azt is jelenti, hogy az ezekben ismertetett sebezhetőségek nem tartoznak a legveszélyesebb biztonsági hibák közé. Ennek ellenére a kihasználásukkal lehetőségük nyílhat a támadóknak jogosulatlan távoli kódfuttatásra. Igaz ahhoz, hogy mindezt elérjék bizonyos mértékű felhasználói közreműködésre is szükség van.

A Microsoft márciusi biztonsági közleményei a következők:

MS10-016
A Microsoft szerint a Windows Movie Maker és a Microsoft Producer 2003 alkalmazások egy olyan sérülékenységet tartalmaznak, amely speciálisan szerkesztett projektállományok révén válhat kihasználhatóvá. Amennyiben a támadónak sikerül rávennie a felhasználót, hogy nyisson meg egy ilyen fájlt, akkor kártékony kódok futtatására is lehetősége nyílhat. Ezt követően a számítógépek feletti irányítás teljes mértékben átvehetővé válhat. Minél több jogosultsággal rendelkezik az állományt megtekintő felhasználó, annál több lehetőség kínálkozik a károkozásra. A Microsoft hangsúlyozta, hogy a Windows Vista és a Windows 7 esetében megtalálható Windows Live Movie Maker szoftver nem érintett e hiba által.

MS10-017
A Microsoft az Excel táblázatkezelő alkalmazásának kapcsán egy átfogóbb hibajavítást adott ki, amely összesen hét sérülékenységet szüntet meg a széles körben használt szoftverben. A sebezhetőségek többsége memóriakezelési rendellenességekre és puffertúlcsordulási hibákra vezethető vissza, amelyek speciálisan összeállított Excel állományok megnyitásakor okozhatnak biztonsági problémákat. Ekkor ugyanis tetszőleges kódok jogosulatlan futtatására adódhat lehetőség, amelynek következtében a teljes rendszer feletti irányítás a támadók kezébe kerülhet. A hiba kockázatát növeli, hogy az Excel sebezhető összetevőinek számos helyen történő felbukkanása további alkalmazásokat tett kiszolgáltatottá. A Microsoft szerint ezért többek között az alábbi szoftvertermékek frissítésére van szükség:
- Microsoft Office XP
- Microsoft Office 2003
- 2007 Microsoft Office System
- Microsoft Office for Mac        
- Microsoft Office 2008 for Mac
- Microsoft Office Excel Viewer
- Microsoft Office SharePoint Server 2007.
 
A Microsoft hibajavításai a cég weboldalairól tölthetők le vagy az automatikus frissítési szolgáltatások segítségével telepíthetők. A sérülékenységekkel kapcsolatban további információk az Isidor Biztonsági Központ weboldalain olvashatók.