Szerző: Bodnár Ádám

2009. július 27. 10:03

Soron kívül frissít holnap a Microsoft

Két soron kívüli hibajavítást ad ki holnap a Microsoft, egyiket az Internet Explorer video streaming ActiveX-vezérlő majdnem egy éve ismert kritikus sebezhetőségére, másikat pedig a Visual Studio egyik komponensének sérülékenységére, amelyet nem csak a Microsoft, hanem más fejlesztésű szoftverek is használhatnak.

HIRDETÉS

A Microsoft minden hónap második keddjén adja ki szokásos biztonsági frissítéseit, azonban a júliusi patch kedden az ActiveX-sebezhetőséget nem foltozta a cég, csak egy olyan frissítést adott ki, ami az Internet Explorerben letiltotta a sérülékeny funkciót, elejét véve a támadások terjedésének. A bűnözőknek elég egy előkészített webhelyre csalni az áldozatokat például spammel vagy azonnali üzenetküldőn terjedő hamis üzenettel, a weblap meglátogatásakor a támadók az ActiveX-vezérlő hibáját felhasználva a gép előtt ülő felhasználóval azonos jogosultságot szerezhetnek s tetszőleges kódot indíthatnak el.

Két német biztonsági szakértő mélyebb kutatása szerint az ActiveX-vezérlő sebezhetőségét egy banális programozási hiba okozza, amely a Windowsok több komponensét is érinti, nem csak az Internet Explorert, hanem a Media Playert és a Terminal Servicest is. Ez egyben azt is jelenti, hogy a Microsoft által a hónap második keddjén kiadott frissítés is hatástalan, hiszen csak az Internet Exporerben tiltja le a kérdéses funkciót, más komponensekben nem. Thomas Dullien és Dennis Elser szerint a Windows XP-ben legalább öt, a Vistában több mint egy tucat Windows-fájl hívja meg a sebezhető függvénykönyvtárat. Dullien blogbejegyzésében emellett azt írja, akár más windowsos szoftverek is sebezhetővé válhattak azáltal, hogy ennek a függvénykönyvtárra hivatkoznak.

A Microsoft a frissítésekről kiadott előzetes értesítésében mindössze annyit ír, hogy két javítás érkezik kedden, azonban nem részletezi, hogy ezek pontosan milyen hibákat javítanak. A nyilvános információ mindössze annyi, hogy az Internet Explorert érintő javítás újraindítást követel, a Visual Studióhoz kiadott frissítés (amely egyébként csak közepes besorolást kapott) nem igényel újraindítást. Utóbbi egyébként a Visual Studio .NET, 2005 és 2008 változatát érinti, valamint a Visual C++ 2005-öt és 2008-at érinti.

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.

a címlapról

Hirdetés

FinOps: a fájdalommentes diéta titka a felhőben

2021. december 7. 13:50

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.