Все новости от 13 февраля 2008 г. Microsoft выпустила массированный залп секьюрити-патчей
Во вторник Microsoft распространила 11 поправок для критических ошибок в своих продуктах, включая широко известный баг ActiveX, который угрожает пользователям СУБД Visual FoxPro.
Обновления исправляют в общей сложности 17 отдельных ошибок в ПО Microsoft. Шесть из них компания квалифицирует как критические. Это означает, что такие поправки следует установить как можно скорее. Остальные названы «важными». Прошлый месяц был спокойнее для системных администраторов — тогда Microsoft выпустила всего два патча.
Некоторые удивлены тем, что обновлений оказалось меньше, чем ожидалось. В прошлый четверг Microsoft предупредила, что она готовит поправку для критических ошибок VBScript и Jscript в Windows 2000, XP и Windows Server 2003. Среди патчей, выпущенных на этой неделе, данной поправки не оказалось, но во вторник компания не подтвердила, что она действительно исключила ее из-за того, что «она несет в себе риск для клиентов», как сказала представительница PR-агентства Microsoft.
Самым важным на этот раз является обновление MS08-010, которое исправляет четыре ошибки в Internet Explorer. Все четыре уязвимости допускают дистанционное использование. Одна из них — это обнародованный баг ActiveX, влияющий на работу системы с СУБД Visual FoxPro. Хакеры уже опубликовали код, демонстрирующий, как использовать эту уязвимость; правда, элемент ActiveX с этой ошибкой не включен в список элементов управления Internet Explorer 7 по умолчанию, так что для большинства пользователей баг не опасен.
Другой важный патч, MS08-007, исправляет критическую ошибку в ПО редиректора WebDAV Windows XP и Vista. WebDAV — это протокол обмена документами на базе веба. Ошибка квалифицируется как важная для пользователей Windows Server 2003.
В этом месяце вышли важные поправки и для продуктов Microsoft Office. В частности, они исправляют критические баги в Microsoft Word, Office Publisher и самом Office. Есть и критическое обновление для ПО автоматизации Windows Object Linking and Embedding (OLE). Остальные обновления квалифицируются как важные и предназначены для Active Directory, стека Vista TCP/IP, преобразователя файлов Microsoft Works и двух багов в веб-сервере Internet Information Services (IIS).
Как показывает этот «вторник патчей», баги в клиентском ПО остаются гораздо более опасными, чем уязвимости сервера. Казалось бы, уязвимости IIS и Active Directory должны считаться наиболее серьезными, так как это ПО размещается в центре ИТ-инфраструктуры предприятия и обеспечивает важнейшие службы. Однако хакерам гораздо легче организовать атаки с клиентской стороны.
Предыдущие публикации:
В продолжение темы:
|