W ramach wrześniowego “Wtorku Poprawek” – Patch Tuesday, Microsoft wydał dwie aktualizacje zabezpieczeń, które są oceniane jako ważne. Poprawki te dotyczą luk w Visual Studio Team Foundation Server 2010 (TFS) i Systems Management Server 2003 i 2007. Obie aktualizacje zawierają poprawki luk cross-site scripting (XSS) w interfejsach sieciowych, które pozwalają napastnikowi na wykonanie dowolnego kodu w przeglądarce ofiary.
Luki umożliwiają atakującemu dostęp do interfejsów www z poziomu uprawnień użytkownika. Microsoft zaklasyfikował je jako luki przekroczenia uprawnień. Spółka zwraca uwagę, że według jej wiedzy, luki nie były jeszcze wykorzystywane do ataków.
Microsoft opublikował także szereg innych poprawek dla systemu Windows, Windows Server i Malicious Software Removal Tool, to uważa je za nie związane z bezpieczeństwem. Spółka zwraca uwagę, że, w odróżnieniu od wcześniejszych wrześniowych aktualizacji, tym razem użytkownicy mogą być zmuszeni do ponownego uruchomienia komputera po instalacji poprawek.
Chociaż aktualny wtorek okazała się być raczej umiarkowany, kolejna porcja poprawek może być znacznie poważniejsza. W październiku, Microsoft wykorzysta Windows Update, aby zainstalować poprawkę, która spowoduje unieważnienie certyfikatów z prywatnym kluczem RSA o długości poniżej 1024 bitów. Obecnie zaleca się klucze RSA o długości co najmniej 2048 bitów.
Źródło: H-Online