[ksoft] Microsoft заделала опасные дыры в Windows и Office
Привет, All!
Во вторник, 10 января корпорация Microsoft выпустила первую в новом
году серию патчей для своих программных продуктов. Как и сообщалось в
http://security.compulenta.ru/246170/
предварительном уведомлении, дыры обнаружены в операционных системах
Windows, а также в пакетах Microsoft Office и Exchange.
Уязвимость в Windows
http://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx
связана с особенностями обработки шрифтов, внедрённых в веб-страницы
или электронные письма в формате HTML. Для реализации нападения
злоумышленнику необходимо послать жертве сформированное особым образом
сообщение по электронной почте или заманить пользователя на
вредоносный сайт в интернете. Эксплуатируя дыры, нападающий
теоретически может получить несанкционированный доступ к удаленному
компьютеру и выполнить на нём произвольный вредоносный код. Брешь
присутствует в Windows 2000, Windows ХР (в том числе 64-битной версии)
и Windows Server 2003 (в том числе с первым пакетом обновлений).
Уязвимость в Microsoft Office и Exchange также может использоваться с
целью захвата контроля над удаленным ПК. Проблема
http://www.microsoft.com/technet/security/Bulletin/MS06-003.mspx
связана с ошибками, возникающими при обработке сообщений с применением
протокола TNEF (Transport Neutral Encapsulation). Дыра представляет
угрозу для пользователей Microsoft Office 2000/XP/2003 и Microsoft
Exchange Server 5.0/5.5 и Exchange 2000 с третьим сервис-паком. Обе
дыры получили статус критически опасных.
Между тем, в интернете появилась информация о двух новых дырах в
Windows, связанных с обработкой графических файлов в формате WMF
(Windows Metafile). Внеплановый патч для WMF-уязвимости
http://security.compulenta.ru/246170
был выпущен корпорацией Microsoft в начале января. Однако, как
http://msgs.securepoint.com/cgi-bin/get/bugtraq0601/90.html
выясняется, проблема устранена не полностью. Впрочем, обнаруженные
дыры позволяют спровоцировать только аварийное завершение работы
приложения, а не выполнение вредоносного кода. Комментариев со стороны
Microsoft по поводу новых уязвимостей пока не поступило.
