Grudniowe biuletyny zabezpieczeń

W ramach standardowego, comiesięcznego cyklu aktualizacji zabezpieczeń firmy Microsoft opublikowano 6 nowych aktualizacji zabezpieczeń (trzy krytyczne i trzy ważne).
Najważniejszą łatką jest zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer (MS09-072). Ta aktualizacja zabezpieczeń usuwa cztery luki w zabezpieczeniach programu Internet Explorer zgłoszone przez użytkowników i jedną lukę w zabezpieczeniach programu Internet Explorer zgłoszoną przez organizacje publiczne. Luki te mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu programu Internet Explorer.

Kolejna z aktualizacji (MS09-074) dotyczy luki w zabezpieczeniach programu Microsoft Office Project. Luka ta może pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik programu Project. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać pełną kontrolę nad systemem. Aktualizacja zabezpieczeń ma wskaźnik ważności “krytyczny” dla programu Microsoft Project 2000 z dodatkiem Service Release 1 i wskaźnik ważności “ważny” dla Microsoft Project 2002 z dodatkiem Service Pack 1 oraz Microsoft Office Project 2003 z dodatkiem Service Pack 3.

Aktualizacja oznaczona symbolem MS09-071 została również sklasyfikowana jako “krytyczna”. Aktualizacja usuwa dwie luki które umożliwiają zdalne wykonanie kodu, gdy wiadomości odebrane przez serwer usługi uwierzytelniania internetowego zostaną nieprawidłowo skopiowane do pamięci podczas obsługi prób uwierzytelnienia PEAP. Osoba atakująca, której uda się wykorzystać jedną z tych luk, może uzyskać pełną kontrolę nad atakowanym systemem. Luka dotyczy serwerów korzystających z usługi uwierzytelniania internetowego tylko w przypadku stosowania protokołu PEAP z uwierzytelnianiem MS-CHAP v2. Aktualizacja zabezpieczeń ma wskaźnik ważności “krytyczny” dla systemu Windows Server 2008 (32-bit) z dodatkiem Service Pack 2 i Windows Server 2008 z dodatkiem Service Pack 2 dla systemów z procesorem x64.

Biuletyn zabezpieczeń MS09-069 usuwa lukę w zabezpieczeniach systemu Microsoft Windows. Luka umożliwia przeprowadzenie ataku typu “odmowa usługi”, jeśli podczas sesji komunikacji za pośrednictwem zabezpieczeń protokołu internetowego (IPSEC) z usługą LSASS w zagrożonym systemie zdalna, uwierzytelniona osoba atakująca wyśle specjalnie spreparowany komunikat ISAKMP. Problem został oznaczony jako “ważny” i dotyczy Windows 2000, Windows XP i Windows Server 2003.

Biuletyn zabezpieczeń MS09-070 (ważny) usuwa dwie luki w zabezpieczeniach systemu Windows, które zostały zgłoszone przez użytkowników. Najpoważniejsza z tych luk umożliwia zdalne wykonanie kodu, jeśli osoba atakująca wyśle specjalnie spreparowane żądanie HTTP do serwera sieci Web z uruchomioną usługą ADFS. W celu wykorzystania którejkolwiek z tych luk osoba atakująca musi być użytkownikiem uwierzytelnionym. Opisany problem dotyczy Windows Server 2003, Windows Server 2003 x64 Edition, Windows Server 2008 i Windows Server 2008 x64 Edition.

Ostatni z biuletynów (MS09-073) oznaczony został jako ważny. Aktualizacja usuwa lukę w zabezpieczeniach konwerterów tekstu programu Microsoft WordPad oraz pakietu Microsoft Office. Luka ta może pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik programu Word97 w programie WordPad lub Microsoft Office Word.

Źródło: Instalki.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *