Kritikus hibák az Internet Explorerben (is)

Két kritikus minősítésű javítás jelent meg a Microsoft szoftvereihez, ezek egyike a redmondi böngészőhöz készült. A kumulatív, azaz a korábbi frissítéseket is tartalmazó patch (961260) azt a lyukat tömi be az Internet Explorer 7-ben, aminek révén egy támadó távolról is átveheti a rendszer felett az ellenőrzést. Ehhez nem kell mást tennie, mint egy olyan weboldalra csalogatnia a gyanútlan internetezőt, amely ártalmas kódot tartalmaz. Azok a felhasználók, akik alacsonyabb jogosultsággal rendelkeznek, kevésbé vannak kitéve ennek a veszélynek, mint az adminisztrátori jogokkal bírók.

A másik, kritikus besorolást kapott patch (959239) az Exchange Server (2000, 2003 és 2007) két hibáját szünteti meg. Egyrészt egy ártó módon létrehozott TNEF (Transport Neutral Encapsulation Format) üzenet révén nyílik távolról való kód futtatására lehetőség. Ugyanakkor egy szintén rossz szándékkal létrehozott MAPI (Messaging Application Programming Interface) parancs is gondot okozhat – ez utóbbi szolgáltatásmegtagadásra (denial of service) irányuló támadást tesz lehetővé.

A fentiek mellett két, fontos minősítésű frissítés is megjelent. Az első (959420) az SQL Server 2000 és 2005 egyik, még decemberben felfedezett, távolról való kódfuttatást lehetővé tevő sebezhetőségét javítja. Végül három sérülékenységtől szabadíthatjuk meg a Microsoft Office-t, ha telepítjük az utolsó patch-et (957634) is. Speciális, ártó szándékkal létrehozott Visio file-okon keresztül támadhatják meg a rendszerünket, és ott vagy kódot futtathatnak, vagy adatokat lophatnak el, ha nem vesszük használatba ezt az update-et.

A fentiek közül a legveszélyesebbnek az Exchange sebezhetőség minősül, mert habár a szakértők még nem találkoztak ezt a hibát kiaknázni képes kóddal az Interneten, a támadók már dolgoznak az „ügyön”. Érdemes tehát a szükséges frissítéseket a lehető leghamarabb telepíteni.