Rengeteg hibának mondott búcsút a Microsoft

A Microsoft tegnap megdöntötte a hibajavító keddek rekordját. Az eddigi legtöbb frissítés ugyanis 2010 októberének második keddjén vált elérhetővé, amikor a cég 49 sebezhetőséget orvosolt. Ez a rekord azonban már a múlté, ugyanis a Microsoft tegnap nem kevesebb, mint 64 sérülékenységről számolt be, összesen 17 biztonsági közlemény keretében.

Az áprilisi biztonsági közlemények közül kilenc kritikus besorolást kapott, míg a maradék nyolc fontos veszélyességűnek minősült. Ez egyben azt is jelenti, hogy a frissítések telepítését minél előbb célszerű elvégezni, hiszen olyan hibák orvoslására került sor, amelyek kártékony kódok jogosulatlan távoli futtatására, illetve az érintett rendszerek feletti irányítás teljes átvételére adhatnak lehetőséget a támadók számára.

A Windows dominált a hibajavító kedden

Az április biztonsági közlemények zöme a Windows operációs rendszerek, illetve azok egyes komponenseinek sérülékenységeiről szól. Ezek közül a legveszélyesebb biztonsági hibák az SMB (Server Message Block) kezelést érintik, amelyek speciálisan szerkesztett SMB csomagok révén jogosulatlan távoli kódfuttatáshoz is felhasználhatók mind kliens, mind szerver oldalon. A Microsoft szintén kritikus veszélyességűnek ítélte meg a JScript és VBScript feldolgozásban korábban felfedezett biztonsági rést, a Compact Font Format (CFF) driver egyik hibáját valamint a DNS-ügyfél szolgáltatás névfeloldási rendellenességét. Ezek mellett frissítésre szorul a Windows Fax Cover Page Editor, az MHTML-kezelést végző egyik összetevő és a WordPad. Végül, de nem utolsó sorban a Windows kernel is jelentős javítássokkal gyarapodott, amelyek elsősorban kernelmódú driverekkel hozhatók összefüggésbe.

Frissült az Office

A Microsoft az Office kapcsán jó néhány frissítéssel rukkolt elő. A legtöbb hibajavítással az Excel gyarapodott, amely különféle memóriakezelési rendellenességektől szabadult meg. A legveszélyesebb sebezhetőség azonban a Windows GDI+ esetében merült fel, amely az Office XP-hez tartozó szoftverek használatakor a teljes rendszer feletti irányítás átvételéhez járulhat hozzá. Fontos megemlíteni, hogy a többi frissítés miatt nemcsak az Office XP foltozására kell figyelmet fordítani, ugyanis az összes jelenleg támogatott Office verzióhoz készültek patch-ek. A legtöbb hiba speciálisan szerkesztett dokumentumok és Office állományok révén válhat kihasználhatóvá.

Biztonságosabb lett az Internet Explorer

Az Internet Explorerrel kapcsolatban felmerült sérülékenységek ismertetésére a Microsoft egy külön közleményt szentelt, amelyet kritikus veszélyességi besorolással látott el. A böngésző összesen öt sérülékenységnek mondott búcsút, melyek elsősorban kártékony weboldalak révén járulhatnak hozzá biztonsági problémákhoz, és akár jogosulatlan távoli kódfuttatást is lehetővé tehetnek. A mostani frissítések elsősorban HTML és JavaScript kezelési rendellenességeket orvosolnak. A javítások telepítésére az Internet Explorer 6-os, 7-es és 8-as verzióinak esetében van szükség. A legújabb, 9-es kiadás e sebezhetőségek által nem érintett. Fontos megjegyezni, hogy a Microsoft egyes, nemkívánatos ActiveX-vezérlők miatt is tett védelmi lépéseket.

.Net Framework és MFC

A Microsoft a .Net Framework kapcsán egy kritikus veszélyességű sérülékenységet szüntetett meg, amely különböző függvényhívások alkalmával jelentett kockázatot. A sebezhetőség miatt a .Net Framework 4-es verzióját kivéve az összes változat javításra szorul. Némileg kisebb kockázatot tartogat az a szintén most befoltozott biztonsági rés, amelyre az MFC (Microsoft Foundation Class) esetében derült fény. E hiba miatt a Visual Studio és a Microsoft Visual C++ Redistributable csomagok frissítésére is mihamarabb célszerű sort keríteni.

A Microsoft hibajavításai az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a cég weblapjairól tölthetők le. A frissítésekkel kapcsolatban további információk az Isidor Biztonsági Központ weboldalain olvashatók.