We wtorek firma Microsoft udostępniła łaty na dziesięć luk w Internet Explorerze, z których prawie wszystkie zostały uznane za krytyczne. Uaktualnienie zawiera między innymi poprawki na trzy błędy, o których głośno było w ostatnich tygodniach. Biuletyn zabezpieczeń został opublikowany w ramach comiesięcznego cyklu aktualizacji firmy Microsoft i zawiera również dwie łaty na krytyczne usterki w systemie Microsoft Windows.

We wszystkich obecnych wersjach systemu Windows i przeglÄ…darki Internet Explorer wystÄ™puje przynajmniej kilka opisanych luk. WedÅ‚ug Microsoftu, aby wykorzystać każdÄ… z oÅ›miu luk krytycznych w Internet Explorerze, osoba atakujÄ…ca musiaÅ‚aby najpierw skÅ‚onić użytkownika do odwiedzenia spreparowanej strony www, która zawiera zÅ‚oÅ›liwy kod. “Skuteczne wykorzystanie najgroźniejszych z tych luk może prowadzić do przejÄ™cia caÅ‚kowitej kontroli nad systemem” - ostrzega Microsoft.

Poradnik bezpieczeństwa podaje, że tylko jedna z luk jest obecnie wykorzystywana przez szkodliwe programy, jednak z innych doniesień wynika, że takich luk jest aż trzy. Niektóre z nich znane były już od ponad dwóch tygodni, co oznacza, że szkodliwi użytkownicy mieli mnóstwo czasu na stworzenie exploitów. Po pojawieniu się exploitów Microsoft znalazł się pod presją wcześniejszego wydania poprawek. W międzyczasie pojawiły się nieoficjalne poprawki od osób trzecich, które nie zostały zaakceptowane przez firmę Microsoft.

Dwie pozostałe luki dotyczą problemów w systemie Microsoft Windows i również mogą prowadzić do zdalnego wykonania kodu. Jeden z błędów został wykryty w Eksploratorze Windows i został uznany za krytyczny dla wszystkich obecnych wersji systemu Microsoft Windows. Drugi błąd dotyczy komponentu ActiveX w składnikach Microsoft Data Access Components (MDAC). Aby osoba atakująca mogła wykorzystać tę usterkę, musiałaby wysłać użytkownikowi specjalnie spreparowaną wiadomość e-mail lub skłonić go do odwiedzenia zainfekowanej strony www.

Kolejny biuletyn zabezpieczeń poświęcony jest problemowi w programie Microsoft Outlook Express, który również może prowadzić do zdalnego wykonania kodu. Luka dotyczy sposobu, w jaki Outlook Express przetwarza pliki Windows Address Book. Jednak aby osoba atakująca przejęła pełną kontrolę nad systemem, użytkownik musi wykonać określone czynności.

Ostatnia łata usuwa usterkę w rozszerzeniach Front Page Server Extensions 2002 oraz w SharePoint Team Services 2002, która może pozwolić na wykonanie skryptów krzyżowych. Luka ta może prowadzić do zdalnego wykonania kodu, wymaga jednak interakcji użytkownika i dotyczy najmniejszej liczby użytkowników.

Firma Microsoft zaleca użytkownikom jak najszybsze zainstalowanie zabezpieczeń poprzez Windows Update lub z witryny Microsoft TechNet.

Źródło: Microsoft TechNet