Biuletyny bezpieczeństwa Microsoft na październik 2005
Wczoraj Microsoft opublikował 9 biuletynów bezpieczeństwa. Sześć z nich dotyczy nowych błędów, z czego trzy otrzymały ocenę „krytyczny” na co najmniej jednej platformie.
Najpoważniejszy błąd zawarty jest w DirectShow, będącym elementem biblioteki DirectX. Luka może być wykorzystana poprzez spreparowanie pliku .avi zawierającego exploit. Skuteczny atak pozwala na przejęcie zdalnemu, anonimowemu użytkownikowi całkowitej kontroli nad systemem. Problem dotyczy wszystkich wersji systemu Windows, włącznie z XP SP2 oraz 2003 SP1.
Inny poważny błąd wykryty został w przeglądarce internetowej Microsoft Internet Explorer i dotyczy wywoływania obiektów COM z poziomu przeglądarki. Także w tym przypadku, po nakłonieniu użytkownika do odwiedzenia odpowiednio spreparowanej strony WWW, atakujący może wykonać w systemie dowolne polecenie z poziomem uprawnień takim, jaki posiada aktualny użytkownik. Łata na tę lukę została zawarta w zbiorczym pakiecie poprawek dla MSIE.
Trzeci z biuletynów o poziomie „krytyczny” opisuje luki w Microsoft Distributed Transaction Coordinator, COM+ oraz TIP. W systemach Windows 2000 oraz XP SP1 błędy te mogą pozwalać na zdalne wykonanie kodu, natomiast w XP SP2 oraz 2003 na nieautoryzowane zwiększenie uprawnień użytkownika w systemie.
Użytkownikom systemów MS Windows zalecamy jak najszybsze pobranie i zainstalowanie poprawek z serwisu Windows Update
Z szerszymi informacjami a także opisem pozostałych biuletynów bezpieczeństwa z tego miesiąca można się zapoznać pod poniższymi adresami:
Aktualizacje zabezpieczeń na październik 2005 r. – http://www.microsoft.com/poland/security/bulletin/200510.mspx
Microsoft Security Bulletin Summary for October, 2005 – http://www.microsoft.com/technet/security/bulletin/ms05-oct.mspx
Źródło informacji: CERT Polska