Három kritikus sebezhetőséget javít kedden a Microsoft

Jövő héten július második keddje lesz, ami "patch tuesday", vagyis a Microsoft ekkor adja ki szokásos hibajavításait. Az előzetes információk szerint összesen hat frissítés érkezik, ezek közül három foltoz be kritikus sebezhetőséget.

A kritikus patchek között van a DirectShow május végén felfedezett hibáját javító folt is. Ez a sebezhetőség lehetővé teszi támadók számára, hogy speciálisan előkészített QuickTime-állományokkal távolról saját kódjukat futtassák Windows 2000 SP4, Windows XP vagy Windows Server 2003 operációs rendszerrel rendelkező gépeken (a Vista és a Windows Server 2008 nem érintett). A Microsoft elismerte, hogy találkozott ezt a sérülékenységet kihasználó támadásokkal, azonban azok elkülöníthető esetek voltak, nincs szó tömeges fertőzésről.

Az Internet Explorer nemrég felfedezett sebezhetőségét is javítják a redmondiak. A videókat kezelő ActiveX-vezérlő hibájáról állítólag 2008 óta tud a Microsoft, azonban az ügy most kapott jelentős figyelmet, amikor tömegessé váltak a sérülékenységet kihasználó támadások. Ehhez még felhasználói interakció sem szükséges, elég egy előkészített webhelyre csalni az áldozatokat például spammel vagy azonnali üzenetküldőn terjedő hamis üzenettel. A weblap meglátogatásakor a támadók az ActiveX-vezérlő hibáját felhasználva a gép előtt ülő felhasználóval azonos jogosultságot szerezhetnek s tetszőleges kódot indíthatnak el. A Windows Vista és Windows Server 2008 rendszereket ez a sebezhetőség sem érinti, a régebbi Windowsokat azonban igen.

E két kritikus sebezhetőség javítása mellett a Microsoft a Vistában és a Windows Server 2008-ban felfedezett kritikus sérülékenységet is javítja, emellett fontos frissítés érkezik a Publisherhez, az ISA Serverhez, valamint a Virtual PC-hez és a Virtual Serverhez.