Czerwcowe biuletyny bezpieczeństwa Microsoftu

Microsoft opublikował 12 biuletynów bezpieczeństwa, w tym osiem określonych jako krytyczne.

Luki dotyczą Microsoft Windows, Word, PowerPoint, Media Player, Internet Explorer oraz serwera Exchange.

MS06-021 (krytyczny) – luki w IE umożliwiające zdalne wykonanie kodu (łącznie załatano 8 luk)

MS06-022 (krytyczny) – oprogramowanie odpowiedzialne za przetwarzanie obrazków ART zawiera przepełnienie bufora

MS06-023 (krytyczny) – luka w obsłudze JScript umożliwiająca zdalne wykonanie kodu poprzez stronę WWW lub plik

MS06-024 (krytyczny) – luka typu przepełnienie bufora w Windows media player podczas przetwarzania plików PNG

MS06-025 (krytyczny) – dwie luki typu przepełnienie bufora w usłudze RRAS (Routing and Remote Access Services) umożliwiają zdalne wykonanie kodu (bez konieczności interakcji z użytkownikiem). Usługa ta uruchamiana jest domyślnie tylko na Windows 2000 Service Pack 4

MS06-026 (krytyczny) – luka w Graphics Rendering Engine podczas przetwarzania formatu WMF umożliwiająca zdalne wykonanie kodu

MS06-027 (krytyczny) – luka typu przepełnienie bufora w Microsoft Word umożliwiająca zdalne wykonanie kodu

MS06-028 (krytyczny) – luka w Powerpoint umożliwia zdalne wykonanie kodu

MS06-029 (ważny) – luka w Microsoft Outlook Web Access dla Exchange umożliwia zdalne wykonanie kodu na kliencie użytkownika po kliknięciu na e-mail z odpowiednio spreparowanym skryptem

MS06-030 (ważny) – luka w SMB może pozwolić na zwiększenie uprawnień (atakujący musi dysponować poprawnymi danymi do zalogowania się i musi to wykonać lokalnie). Łata także dotyczy drugiej luki typu denial of service.

MS06-031 (średni) – luka we wzajemnym uwierzytelnieniu RPC może umożliwiać podszywanie się.

MS06-032 (ważny) luka typu przepełnienie bufora w sterowniku TCP/IP podczas obsługi pakietów z ustawionym polem source route może umożliwić zdalne wykonanie kodu.

Źródło informacji: CERT Polska