Szerző: Bodnár Ádám

2006. december 8. 10:55

Nincs és egy darabig nem is lesz javítás a kritikus Word-hibára

A Microsoft jövő kedden összesen hat biztonsági frissítést ad ki, amelyek közül kettő foltoz be kritikus sérülékenységet, azonban nem lesz köztük annak a nemrég felfedezett Word-hibának a javítása, amelyre alapozva állítólag már támadásokat intéznek egyes felhasználók ellen. A kedden megjelenő frissítések közül öt a Windowst, egy pedig a Visual Studiót javítja -- az Office vagy a Word nincs a listában.

[HWSW] A Microsoft jövő kedden összesen hat biztonsági frissítést ad ki, amelyek közül kettő foltoz be kritikus sérülékenységet, azonban nem lesz köztük annak a nemrég felfedezett Word-hibának a javítása, amelyre alapozva állítólag már támadásokat intéznek egyes felhasználók ellen. A kedden megjelenő frissítések közül öt a Windowst, egy pedig a Visual Studiót javítja -- az Office vagy a Word nincs a listában.

Amint az ismert, a Microsoft a biztonsági frissítések érkezése előtt nyilvánosságra hozza, hogy a havonta szokásos javítás keretében milyen hibákat foltoz be. Erre azért van szükség, hogy a rendszeradminisztrátorok priorizálhassák a frissítéseket, illetve fel tudjanak készülni a patchelésre. Ennek érdekében a Microsoft részletesen közzéteszi, hogy a frissítések pontosan milyen szoftvereket javítanak és hogy a telepítésükhöz szükség van-e például rendszerújraindításra.

A redmondi vállalat már tud arról a biztonsági résről a Wordben, amelyet a legtöbb szakértő "különösen kritikus" besorolással látott el. A memóriakezeléssel kapcsolatos probléma lehetővé teszi a támadók számára, hogy egy speciálisan előkészített Word dokumentum segítségével átvegyék az irányítást a célpont gépe felett, így adatokat semmisíthetnek meg vagy lophatnak el, szoftvereket telepíthetnek, vagy akár támadások indításávagy vagy spamküldéshez használhatják.

A sebezhetőség a Word 2000, Word 2002 (XP), Word 2003, Microsoft Word Viewer 2003, Word 2004 for Mac, Word 2004 v. X for Mac, valamint a Works 2004, 2005, és 2006 termékekben van jelen. A támadás kivitelezéséhez a felhasználónak meg kell nyitnia a preparált Word-dokumentumot. A Microsoft nem közölte, hogy a Word hibájára mikor érkezik a frissítés, ha a helyzet nem eszkalálódik és nem terjednek tömegesen a sérülékenységet kihasználó támadások, akkor valószínűleg csak januárban lesz javítás.

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.

a címlapról