Ünnepi hibajavítások a Microsofttól

A Microsoft az év végére meglehetősen sok frissítéssel rukkolt elő. Azonban a cég az eredeti, előzetes tájékoztatójától eltérően nem tizennégy, hanem „csak" tizenhárom biztonsági közleményt tett elérhetővé, amelyekben megközelítőleg húsz sérülékenységről számolt be. A 13 közlemény közül három kritikus, míg a többi fontos veszélyességi kategóriába tartozik.

Ahogy azt a múlt héten a Microsoft bejelentette, a decemberi hibajavítások között az a patch is megtalálható, amely egy nevezetes sérülékenységet orvosol. Arról a hibáról van szó, amit a - Stuxnet féreg utódjaként számon tartott - Duqu trójai használ ki a terjedéséhez, illetve a károkozáshoz. Rossz hír viszont, hogy a Microsoft áltál szeptemberben elismert, az SSL 3.0 és a TLS 1.0 kezelésével összefüggésben felmerült biztonsági rés továbbra sem kapta meg a foltját. Múlt csütörtökön még úgy volt, hogy erre a sebezhetőségre is meglesz a megoldás, azonban a hírek szerint azóta a fejlesztők kompatibilitási problémákat észleltek, ezért inkább nem tették közzé a patch-et. (Az amerikai Computerworld úgy tudja, hogy a javítással kapcsolatos gondokat az SAP jelezte a Microsoftnak.)

Fontos Windows javítások

A decemberi Windows frissítések közül kétségtelenül az MS11-087-es közleményhez tartozó patch a legizgalmasabb, ugyanis ez foltozza be azt a biztonsági rést, amelyet a Duqu trójai is kihasznál a terjedése során. A Microsoft szerint egy olyan kernelhibáról van szó, amelynek révén speciálisan szerkesztett TrueType font állományok feldolgozásakor távoli kódfuttatásra és az érintett rendszerek feletti irányítás átvételére nyílhat lehetőség.

A Windows-hoz további két kritikus és négy fontos veszélyességi besorolással ellátott közlemény látott napvilágot. A legveszélyesebb sérülékenységek ActiveX vezérlők valamint a Windows Media Player és a Windows Media Center kapcsán merültek fel. Ez utóbbi alkalmazásoknál a .dvr-ms fájlok esetenként rendellenes feldolgozása vezethet károkozáshoz. Mindezek mellett az operációs rendszer OLE, Active Directory, illetve CSRSS (Client/Server Run-time Subsystem) kapcsán felfedezett sérülékenységektől is megszabadult. Frissítésre a Windows XP, a Windows Vista, a Windows 7, a Windows Server 2003 valamint a Windows Server 2008 esetében is szükség van.

Biztonságosabb lett az Internet Explorer

Az Internet Explorer ezúttal három, fontos veszélyességű hibától vált meg. Ezek között HTML-feldolgozással, XSS-szűrővel valamint DLL-kezeléssel kapcsolatos sebezhetőségek találhatók. A Microsoft szerint a sérülékenységek speciálisan szerkesztett weboldalakkal, illetve DLL-állományokkal válhatnak kihasználhatóvá, és tetszőleges kódok távoli futtatását tehetik lehetővé. A biztonsági rések miatt az Internet Explorer 6-os, 7-es, 8-as és 9-es verzióit is frissíteni kell.

Foltok az Office-ra

A Microsoft az Office szoftvercsomagját egy átfogó frissítéssel látta el. A legtöbb hibajavítást a Publisher kapta, amely négy sérülékenységnek mondott búcsút. Emellett a PowerPoint kettő, a Word és az Excel egy-egy hibától vált meg. A sebezhetőségek speciálisan összeállított dokumentumok, állományok megnyitásakor okozhatnak biztonsági problémákat. Összességében elmondható, hogy a hibák miatt az Office 2003, 2007 és 2010 foltozására is figyelmet kell szentelni.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.