Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Soron kívül frissít holnap a Microsoft

Bodnár Ádám, 2009. július 27. 10:03
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Két soron kívüli hibajavítást ad ki holnap a Microsoft, egyiket az Internet Explorer video streaming ActiveX-vezérlő majdnem egy éve ismert kritikus sebezhetőségére, másikat pedig a Visual Studio egyik komponensének sérülékenységére, amelyet nem csak a Microsoft, hanem más fejlesztésű szoftverek is használhatnak.

hirdetés

A Microsoft minden hónap második keddjén adja ki szokásos biztonsági frissítéseit, azonban a júliusi patch kedden az ActiveX-sebezhetőséget nem foltozta a cég, csak egy olyan frissítést adott ki, ami az Internet Explorerben letiltotta a sérülékeny funkciót, elejét véve a támadások terjedésének. A bűnözőknek elég egy előkészített webhelyre csalni az áldozatokat például spammel vagy azonnali üzenetküldőn terjedő hamis üzenettel, a weblap meglátogatásakor a támadók az ActiveX-vezérlő hibáját felhasználva a gép előtt ülő felhasználóval azonos jogosultságot szerezhetnek s tetszőleges kódot indíthatnak el.

Két német biztonsági szakértő mélyebb kutatása szerint az ActiveX-vezérlő sebezhetőségét egy banális programozási hiba okozza, amely a Windowsok több komponensét is érinti, nem csak az Internet Explorert, hanem a Media Playert és a Terminal Servicest is. Ez egyben azt is jelenti, hogy a Microsoft által a hónap második keddjén kiadott frissítés is hatástalan, hiszen csak az Internet Exporerben tiltja le a kérdéses funkciót, más komponensekben nem. Thomas Dullien és Dennis Elser szerint a Windows XP-ben legalább öt, a Vistában több mint egy tucat Windows-fájl hívja meg a sebezhető függvénykönyvtárat. Dullien blogbejegyzésében emellett azt írja, akár más windowsos szoftverek is sebezhetővé válhattak azáltal, hogy ennek a függvénykönyvtárra hivatkoznak.

A Microsoft a frissítésekről kiadott előzetes értesítésében mindössze annyit ír, hogy két javítás érkezik kedden, azonban nem részletezi, hogy ezek pontosan milyen hibákat javítanak. A nyilvános információ mindössze annyi, hogy az Internet Explorert érintő javítás újraindítást követel, a Visual Studióhoz kiadott frissítés (amely egyébként csak közepes besorolást kapott) nem igényel újraindítást. Utóbbi egyébként a Visual Studio .NET, 2005 és 2008 változatát érinti, valamint a Visual C++ 2005-öt és 2008-at érinti.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.