Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Három kritikus biztonsági frissítés érkezik jövő kedden a Microsofttól

Bizó Dániel, 2008. május 09. 14:47
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Négy biztonsági frissítés érkezik a májusi patch kedden, melyek közül három besorolása kritikus. A Microsoft végre közzéteszi a Windowsokba épített Jet adatbázismotor javítását, mely évek óta ismert rést foltoz be -- a jelek szerint az XP SP3 már tartalmazza a kódot, vagy a Jet egy újabb verzióját.

hirdetés
[HWSW] Négy biztonsági frissítés érkezik a májusi patch kedden, melyek közül három besorolása kritikus. A Microsoft végre közzéteszi a Windowsokba épített Jet adatbázismotor javítását, mely évek óta ismert rést foltoz be -- a jelek szerint az XP SP3 már tartalmazza a kódot, vagy a Jet egy újabb verzióját.

A májusi frissítésekkel végre széles körben hozzáférhető lesz a Jet Database Engine 4.0.9505.0 vagy régebbi verzióit érintő biztonsági javítás -- a sebezhetőség Windows 2000 SP4, XP SP2 és Server 2003 SP1 operációs rendszereket érinti. Amint arról korábban már beszámoltunk, az Access és a Visual Basic, valamint a Visual C++ adatbázis hátterét biztosító Jet oszlopkezelése (oszlopszám túlcsordulás) olyan dokumentált sebezhetőséget teremt, mely lehetővé teszi a támadónak tetszőleges kód futtatását a rendszeren a felhasználó jogosultságán. Az egyik példatámadás például a számológépet indítja el. Ez a sebezhetőség 2005 márciusa óta ismert, a Microsoft ugyanakkor nem tette közzé meglévő javítását, mert úgy vélte, az csak a tiltólistán lévő MDB fájlokkal aknázható ki -- nemrég kiderült, tévedett.

A másik két kritikus biztonsági frissítés a Microsoft Word és a Publisher számos változatát érinti. Valószínű, legalábbis a Word esetében, hogy a Microsoft a Jet motor foltozása mellett a támadási vektort is igyekszik felszámolni, vagyis a Word dokumentumba ágyazott támadás se jusson át a szövegszerkesztő szoftveren. Mindenesetre mindhárom biztonsági frissítés távoli kód végrehajtását orvosolja a Microsoft előzetes értesítése alapján. A negyedik, moderált jelentőségűre osztályzott frissítés a Microsoft biztonsági szoftvereiben, köztük a Live OneCare, az Antigen, Windows Defender, Forefront Security alkalmazásokban foltoz réseket, melyekkel valamilyen módon üzemképtelenné tehetőek azok.

A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.