A Microsoft - ahogy azt a múlt héten már előrevetítette - tíz biztonsági közleményt adott ki. Ezek közül három kritikus, míg a többi hét fontos veszélyességi besorolást érdemelt ki. A cég a közleményeiben összesen 34 sérülékenységről számolt be, és ezzel beállította a tavaly októberi frissítési rekordját.
A napvilágra került sebezhetőségek közül a legnagyobb kockázatot rejtő hibák a Windows és az Internet Explorer kapcsán merültek fel. Fontos megemlíteni, hogy az összes, Windowshoz megjelenő frissítés érinti a legújabb, Windows 7 operációs rendszert, de a régebbi kiadások sem úszták meg a foltozgatást. Mindezek mellett az Excel, az IIS, a .Net Framework valamint a SharePoint is frissítésre szorul.
Andrew Storms, az nCircle Security biztonsági igazgatója a Microsoft előzetes közleményével kapcsolatban elmondta, hogy ha a hibajavítások számát tekintjük, akkor valóban egy jelentős frissítésről van szó. Azonban a szakember a júniusi hibajavító keddet mégsem sorolta a "legerősebbek közé", ugyanis a megszüntetésre kerülő sérülékenységek közül a legtöbb nem tartozik a kritikus veszélyességű sebezhetőségek közé. Természetesen mindez nem azt jelenti, hogy érdemes lenne halogatni a frissítéseket.
A Microsoft hibajavításai az automatikus frissítési funkciók segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le.
A Microsoft júniusi biztonsági közleményei a következők:
MS10-032 - fontos
A Microsoft három olyan sérülékenységről számolt be, amelyek a Windows kernelben találhatók. Az egyik hiba nem megfelelő adatellenőrzésre, a másik a TrueType fontok hibás kezelésére, míg a harmadik az új ablakok megnyitásakor megadott paraméterek esetenkénti nem megfelelő feldolgozására vezethető vissza. A hibák kihasználásával a támadók kernelszintű, illetve kernelmódú drivereket, kódokat futtathatnak le, majd akár teljes mértékben átvehetik az érintett rendszerek feletti irányítást. A sebezhetőségek miatt a Windows 2000/XP/Vista, a Windows 7, a Windows Server 2003 és a Windows Server 2008 operációs rendszerek frissítésére is szükség van.
MS10-033 - kritikus
A Windows multimédiás állományok kezelésével kapcsolatban két sérülékenységre derült fény. Ezek a Quartz.dll valamint az Asycfilt.dll nevű állományokban lapulnak, és speciálisan szerkesztett fájlok révén válhatnak kihasználhatóvá. A Microsoft szerint a biztonsági rések akkor válhatnak veszélyessé, amikor a felhasználó megnyit egy kártékony multimédiás állományt. Ekkor ugyanis a támadók számára lehetőség nyílhat jogosulatlan távoli kódfuttatásra. A hibák a DirectX-szel valamint az MJPEG-kezeléssel is összefüggésbe hozhatók. A frissítések telepítése a Windows 2000/XP/Vista, a Windows 7, a Windows Server 2003 és a Windows Server 2008 operációs rendszerek esetében is fontos.
MS10-034 - kritikus
A Microsoft két olyan sérülékenységet szüntetett meg, amelyek elsősorban egyes ActiveX vezérlők nem megfelelő kezelésére vezethetők vissza. Emiatt a Microsoft Data Analyzer valamint az Internet Explorer 8 Developer Tools (Fejlesztői eszközök) is kockázatot jelenthetnek abban az esetben, ha a felhasználó olyan weboldalt tekint meg, amely speciálisan összeállított ActiveX vezérlőket is tartalmaz. A Microsoft szerint a hibák a Windows 2000/XP/Vista és a Windows 7 esetében kritikus veszélyességi besorolást érdemeltek ki, míg a Windows Server 2003 és a Windows Server 2008 kapcsán a kockázatok nagysága csekélyebb. A fejlesztők a "kill bit"-ek újabb frissítését is elvégezték.
MS10-035 - kritikus
Az Internet Explorer összesen hat hibajavítással bővült. A befoltozott biztonsági rések memóriakezelési rendellenességekre, HTML objektumok feldolgozásával kapcsolatos problémákra, valamint domainkezelési hibákra vezethetők vissza. A sérülékenységek speciálisan szerkesztett weboldalakkal használhatók ki, és kártékony kódok jogosulatlan távoli futtatását tehetik lehetővé. A támadóknak nem kell mást tenniük, mint az általuk összeállított ártalmas weboldalakra vezetni a felhasználókat. A sebezhetőségek az Internet Explorer 5.01-es, 6-os, 7-es és 8-as verziójában is megtalálhatók.
MS10-036 - fontos
A Microsoft Office szoftvercsomag egyes alkalmazásaiban egy olyan sérülékenységre derült fény, amely a COM objektumok nem megfelelő ellenőrzése miatt okozhat problémákat. A biztonsági rés akkor jelenthet veszélyt, amikor a felhasználó speciálisan szerkesztett Excel, Word, Visio, Publisher vagy PowerPoint állományt tekint meg. Ekkor ugyanis a támadók teljes mértékben átvehetik a rendszerek feletti irányítást, programokat telepíthetnek, vagy új felhasználói fiókokat hozhatnak létre. A sebezhetőség miatt az Office XP/2003 valamint a 2007 Microsoft Office System frissítését is célszerű minél hamarabb elvégezni.
MS10-037 - fontos
A Microsoft szerint a Windows OpenType Compact Font Format (CFF) driver adatellenőrzési rendellenességet tartalmaz, aminek következtében speciálisan szerkesztett CFF betűtípusok megjelenítésekor biztonsági problémák jelentkezhetnek. A sebezhetőség csak abban az esetben használható ki, ha a támadó rendelkezik a kiszemelt rendszerhez érvényes belépési adatokkal, azaz a biztonsági hiba távoli kihasználására nincs mód. A sebezhetőség következtében a Windows 2000/XP/Vista, a Windows 7, a Windows Server 2003 és a Windows Server 2008 operációs rendszerek szorulnak frissítésre.
MS10-038 - fontos
A Microsoft egy tekintélyes méretű frissítést adott ki az Excelhez. A cég biztonsági közleményének tanúsága szerint ugyanis a táblázatkezelő alkalmazásban, illetve az ahhoz tartozó egyes komponensekben nem kevesebb, mint tizennégy biztonsági rés befoltozására került sor. Ezeket a hibákat többnyire memóriakezelési rendellenességek okozzák, és speciálisan szerkesztett Excel állományok révén válhatnak kihasználhatóvá. Amennyiben a felhasználó megnyit egy ilyen, kártékony fájlt, akkor a támadóknak lehetőségük lehet tetszőleges kódok jogosulatlan távoli futtatására is. A sebezhetőségek az Excel 2002/2003/2007, a Microsoft Office 2004 for Mac, a Microsoft Office 2008 for Mac, az Open XML File Format Converter for Mac valamint az Excel Viewer alkalmazásokban is kimutathatók.
MS10-039 - fontos
A SharePoint Server valamint a SharePoint Services kapcsán három biztonsági hiba orvoslására került sor. Ezek közül az egyik a Help.aspx állomány vizsgálatakor merült fel, és XSS (cross-site scripting) alapú támadásokat tehet lehetővé. A SharePoint súgója egy további rendellenességet is rejt, amely szolgáltatásmegtagadási támadások kezdeményezését segítheti elő. A Microsoft által közölt harmadik sérülékenység a toStaticHTML API-val hozható összefüggésbe, és szintén XSS támadások révén jogosulatlan kódfuttatást biztosíthat a támadók számára. A sebezhetőségek által az Office InfoPath 2003/2007, az Office SharePoint Server 2007 valamint a Windows SharePoint Services 3.0 is érintett.
MS10-040 - fontos
Az Internet Information Services (IIS) egy olyan, fontos besorolású sérülékenységet tartalmaz, amelyet egyes authentikációs információk esetenkénti nem megfelelő feldolgozása okoz. A hiba jogosulatlan távoli kódfuttatást is elősegíthet abban az esetben, ha a felhasználók felé speciálisan összeállított HTTP-kéréseket sikerül továbbítani. A Microsoft szerint a sebezhetőség az IIS 6.0, az IIS 7.0 és az IIS 7.5 esetében is jelen van.
MS10-041 - fontos
A Microsoft .NET Framework kapcsán egy olyan sérülékenység orvoslására került sor, amely adatmanipulációra adhat lehetőséget. A támadók ugyanis XML-állományokkal történő visszaélések során anélkül módosíthatnak adatokat, hogy annak bármiféle látható jele lenne. A sebezhetőség abban az esetben nem jelent veszélyt, ha az XML-állományok továbbítása biztonságos csatornán, például SSL segítségével történik. A biztonsági rés kockázata, illetve megléte attól is függ, hogy a .Net Framework milyen operációs rendszer alatt fut. A .NET Framework 3.0 és 4.0 egyáltalán nem érintett a hiba által.
A Microsoft hibajavításaival kapcsolatban további információk az Isidor Biztonsági Központ weboldalain olvashatók.
A cikk a Computerworld biztonság rovatában jelent meg.
