Microsoft opublikowa艂 grudniowe aktualizacje bezpiecze艅stwa

W ten wtorek Microsoft opublikowa艂 comiesi臋czn膮 aktualizacj臋 bezpiecze艅stwa, kt贸ra tym razem zawiera siedem biuletyn贸w, z czego trzy zosta艂y ocenione jako krytyczne. W sumie naprawiono jedena艣cie usterek w zabezpieczeniach, 艂膮cznie z lukami w Microsoft Internet Explorer, Windows Media Player oraz Visual Studio 2005.

Poprawki na b艂臋dy w programie Internet Explorer oraz odtwarzaczu Media Player powinny byc traktowane jako aktualizacje priorytetowe, poniewa偶 aplikacje te s膮 niezwykle powszechne na komputerach u偶ytkownik贸w. Poniewa偶 s膮 to aktualizacje krytyczne, mog膮 pozwoli膰 osobie atakuj膮cej na przej臋cie kontroli nad systemem poprzez zdalne wykonanie kodu na maszynie. Trzeci "krytyczny" biuletyn usuwa problem w programie Microsoft Visual Studio 2005, kt贸ry umo偶liwia osobie atakuj膮cej wykorzystanie WMI Object Broker ActiveX control w celu wykonania dowolnego kodu w systemie ofiary.

Z czterech biuletyn贸w ocenionych jako wa偶ne trzy dotycz膮 luk w zabezpieczeniach, kt贸re r贸wnie偶 mog膮 prowadzi膰 do zdalnego wykonania kodu, ale uzyska艂y ni偶szy poziom wa偶no艣ci ze wzgl臋du na charakter nara偶onych komponent贸w. Zar贸wno Simple Network Management Protocol (SNMP), jak i Remote Installation Service (RIS) nie s膮 domy艣lnie w艂膮czone w Windowsie, minimalizuj膮c wp艂yw luk. Luka dotycz膮ca pliku Windows Address Book w programie Outlook Express r贸wnie偶 mo偶e prowadzi膰 do zdalnego wykonania kodu, jednak wymaga to interakcji u偶ytkownika, st膮d ni偶szy poziom wa偶no艣ci tej luki. Czwarta luka oceniona jako krytyczna mo偶e prowadzi膰 do zwi臋kszenia przywilej贸w.

Pocz膮tkowo mia艂o pojawi膰 si臋 tylko sze艣膰 biuletyn贸w, jednak w ostatniej chwili Microsoft postanowi艂 doda膰 poprawki na dwie usterki w odtwarzaczu Media Player, kt贸re zacz臋to ju偶 wykorzystywa膰 na wolno艣ci. Microsoft nie opublikowa艂 natomiast poprawek na kilka usterek "zero-day" w aplikacji Microsoft Word, kt贸re r贸wnie偶 zosta艂y ujawnione w ostatnich tygodniach. Firma bada te luki i by膰 mo偶e opublikuje na nie 艂at臋 poza cyklem aktualizacji.

U偶ytkownikom zalecamy jak najszybsz膮 aktualizacj臋 - automatycznie albo r臋cznie, za po艣rednictwem witryny Microsoft TechNet.

殴r贸d艂o:
Computerworld
Microsoft TechNet
vnunet.com