Az Office lett a hibajavító kedd főszereplője

A Microsoft a múlt héten jelezte, hogy ebben a hónapban az októberi hibajavító keddhez képest jóval kevesebb frissítést fog elérhetővé tenni. Ez így is lett, hiszen mindössze három biztonsági közleményt adott ki. Igaz ezek nem kevesebb, mint tizenegy sebezhetőséget szüntetnek meg. (A cég októberben 16 közlemény keretében összesen 49 sebezhetőségről adott tájékoztatást.)

A novemberi biztonsági közlemények közül egy kritikus, míg a másik kettő fontos veszélyességi besorolást kapott. Ezúttal kizárólag az Office szoftvercsomag valamint a Forefront Unified Access Gateway 2010 felhasználóinak, illetve üzemeltetőinek kell frissíteniük a rendszereiket. A Windows - az előzetes terveknek megfelelően - ezúttal nem gyarapodott újabb hibajavítással.

Noha a novemberi hibajavító kedd első ránézésre mindenképpen lazábbnak látszik, mégsem célszerű félvállról venni az elérhetővé vált patch-ek telepítését. Azok közül ugyanis jó néhány lehetőséget biztosíthat a támadók számára tetszőleges kódok jogosulatlan távoli futtatására, valamint a rendszerek feletti irányítás átvételére. Az Office esetében elsősorban fájl- és memóriakezelési rendellenességekről hullt le a lepel. A legveszélyesebb sérülékenység RTF-dokumentumuk révén okozhat problémákat. A Forefront Unified Access Gateway (UAG) pedig XSS-sebezhetőségektől valamint egy, a hálózati adatforgalom manipulálására lehetőséget adó hibától szabadult meg.

Az Internet Explorer múlt héten napvilágra került, súlyos biztonsági réséhez nem készült el a patch, ezért elképzelhető, hogy csak a decemberi hibajavító kedden kapja meg a foltját a böngésző.

A Microsoft novemberi biztonsági közleményei a következők:

MS10-087 (kritikus)

A Microsoft az Office különféle fájlformátumainak kezelése kapcsán összesen öt sérülékenységet szüntetett meg. Ezek közül az egyik legtöbb kockázatot az a sebezhetőség hordozza, amely speciálisan szerkesztett RTF-formátumú dokumentumok révén válhat kihasználhatóvá, és kártékony kódok jogosulatlan távoli futtatását is elősegítheti. Amennyiben a támadóknak sikerül élniük a biztonsági rés által számukra jelentett lehetőségekkel, akkor akár teljes mértékben átvehetik az érintett rendszerek feletti irányítást. Egyes hibák akár elektronikus levelek révén is problémákat okozhatnak. Mindezek miatt a Microsoft az MS10-087-es számú közleményét kritikus besorolással látta el, amely az Office 2010 esetében tartogatja a legnagyobb kockázatot. Emellett azonban frissítésre szorul az Office 2003, a Microsoft Office 2007, az Office 2004 for Mac, az Office 2008 for Mac és az Office for Mac 2011 is.

MS10-088 (fontos)

A PowerPoint szoftver esetében két fontos besorolású sérülékenységre derült fény. Ezek bizonyos körülmények között alkalmasak lehetnek arra, hogy a támadók jogosulatlan műveleteket hajtsanak végre az érintett rendszereken, azokon fájlműveleteket végezzenek, vagy akár új felhasználói fiókokat hozzanak létre. Minél több jogosultsággal használja a felhasználó a számítógépét, a sebezhetőségek annál nagyobb kockázatot jelentenek. A Microsoft szerint a biztonsági hibák speciálisan összeállított PowerPoint állományok megnyitásakor memóriakezelési rendellenességekhez vezethetnek, és puffertúlcsordulási hibát idézhetnek elő. A sérülékenységeket az Office XP, az Office 2004 for Mac valamint a PowerPoint Viewer tartalmazza.

MS10-089 (fontos)

A Microsoft a Forefront Unified Access Gateway (UAG) terméke kapcsán összesen négy sebezhetőséget orvosolt. Ezek közül három XSS (cross-site scripting) alapú támadásokhoz járulhat hozzá, többek között az UAG Mobile Portal egyik rendellenessége miatt. Ennek megfelelően különféle scriptek lefuttatása is lehetővé válhat. A negyedik biztonsági rés pedig az adatforgalom esetenkénti meghamisítását vagy átirányítását eredményezheti. Ez utóbbi speciálisan szerkesztett hivatkozások segítségével válhat kihasználhatóvá. A Microsoft által kiadott frissítéseket a Forefront Unified Access Gateway 2010 (alap, Update 1 és Update 2) kiadásaira kell feltelepíteni.

További információk az Isidor Biztonsági Központ weboldalain olvashatók.