Nedostaci i popravci: rijedak hitni popravak iz Microsoft

Microsoft se možda osjećao poput malog nizozemskog dječaka tijekom proteklog mjeseca, povezivši rupice s redovitim zakrpama i s rijetkim popravcima izvan ciklusa pokušaj da spriječi prolijevanje napadača.

Zakrpa izvan ciklusa, kritična za sve verzije programa Internet Explorer na 2000, XP i Vista, obrađuje IE za rukovanje nedostatnim ActiveX kontrole stvorenim pomoću Microsoft Active Template Library (ATL), alat za razvojne programere koji je uključen u Visual Studio. Rizična računala bi mogla biti pogođena napadom po pogonu po preuzimanju. Ova ozbiljna ranjivost utječe na mnoge ActiveX kontrole. Na primjer, Adobe je potvrdio na svom sigurnosnom mjestu da njegov ActiveX kontrole Shockwave i Flash Player "iskorištavaju ranjive verzije ATL-a" i da radi na popravci.

Zero-day Fixes

Microsoftov redoviti Patch Tuesday izdanje oslobodio je mnogo drugih rupa, uključujući i nultoj manu koji je imao nedostatak bio napadnut i uključio ActiveX kontrolu koju koristi Microsoft Video. Iako je zakrpa onemogućila kontrolu, koja nije imala legitimnu svrhu, nije ispravila temeljni nedostatak. Popravak, ključan za Windows XP i umjeren za Windows Server 2003, ne utječe na Windows 2000, Vista ili Server 2008.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Zaustavljeno je drugo rješenje napada na Microsoft DirectShow obradu QuickTime sadržaja. Napadi, koji nisu ovisili o instaliranju Appleovog QuickTimea, mogli bi pokrenuti ako je žrtva otvorila ili pregledavala otrovnu QuickTime datoteku. DirectX 7, 8.1 i 9.0 na sustavu Windows 2000 trebaju popraviti, kao i DirectX 9.0 na XP i Server 2003. Vista i Server 2008. dobili su pass.

Ostali kritični popravci obranili su rupe u tome kako sve podržane verzije sustava Windows upravljaju fontovima Web stranica, e-pošte i Office dokumenata. Nedostaci u ugrađenom OpenType fontovnom motoru nisu bili napadnuti prije oslobađanja zakrpa, ali su doozies.

Ozbiljna pogreška u Microsoft Office Web Components uključuje ActiveX problem koji omogućuje napada na IE korisnike. Široki raspon komponenti i verzija sustava Office treba popraviti; za potpuni popis pogođenih programa pogledajte povezanu stranicu tvrtke Microsoft.

Sve gore navedene popravke možete iskoristiti putem Windows Update.

Adobe i Firefox zakrpe

Microsoft nije jedini koji pati od nulte danu prijetnju tijekom prošlog mjeseca. Adobe, drugi popularni cilj, izdala je popravke Flasha (na svim platformama), kao i za Reader, Air i Acrobat, nakon izvješća o napadima koji su koristili otrovne PDF datoteke kako bi iskoristili pogreške u Flashu. Da biste zaštitili te višestruke napade, svakako ažurirajte sve svoje Adobeove aplikacije. Preuzmite Flash verziju 10.0.32.18 i najnoviju Air na web mjestu tvrtke Adobe. Za Reader, ažurirajte inačicu 9.1.3 otvaranjem programa i odabirom Alati, Provjeri ažuriranja. Pogledajte Adobe bilten o sigurnosti za poveznice s ažuriranjima programa Acrobat za Mac i Windows, kao i više detalja.

Da biste završili svoje obveze, korisnici Firefoxa trebali bi nadograditi na najnoviju verziju dostupnih za primjenu više ispravaka za razne rupice u verzijama 3 i 3.5, uključujući i ozbiljan nedostatak u rukama JavaScript-a 3.5 i problem koji utječe na korištenje SSL certifikata Firefox 3 za šifriranje sigurnih web veza (3.5 je već siguran od tog nedostatka). Kliknite Pomoć, Provjeri ažuriranja da biste potvrdili da imate najnoviju verziju. A ako ste još uvijek na verziji 3, posjetite web-mjesto Firefox da biste preuzeli 3.5; to je relativno bezbolna nadogradnja.