[ksoft] Microsoft устранила опасные дыры в Windows и Office
Привет, All!
Корпорация Microsoft выпустила очередную порцию патчей для своих
программных продуктов. Дыры обнаружены в операционных системах Windows
последних версий, офисных приложениях и медиаплеере Windows Media
Player.
Наибольшую опасность представляет уязвимость в Windows Media Player.
Проблема
http://www.microsoft.com/technet/security/Bulletin/MS06-005.mspx
связана с особенностями обработки медиаплеером графических файлов в
формате BMP. Для реализации нападения злоумышленнику необходимо
вынудить жертву открыть при помощи уязвимого приложения сформированное
особым образом изображение, которое, например, может быть размещено на
веб-сайте в интернете. Дыра теоретически обеспечивает возможность
выполнения на удаленном компьютере произвольных операций, в связи с
чем была охарактеризована как критически опасная. Заплатки
настоятельно рекомендуется установить пользователям Windows Media
Player версий 7.1, 9 и 10.
Кроме того, произвольный код в системе может быть выполнен в том
случае, если плагин Windows Media Player применяется для
воспроизведения мультимедийного контента через альтернативные браузеры
(Internet Explorer данная проблема не затрагивает). Сценарий атаки
сводится к созданию вредоносной веб-страницы, на которую злоумышленник
должен заманить жертву. Заплатки
http://www.microsoft.com/technet/security/Bulletin/MS06-006.mspx
выпущены для операционных систем Windows 2000, Windows ХР и Windows
Server 2003. Брешь получила статус важной.
Еще две дыры, охарактеризованные корпорацией Microsoft как важные,
обнаружены в модификациях Windows ХР и Windows Server 2003 (в том
числе 64-разрядных вариантах ОС). Одна из ошибок
http://www.microsoft.com/technet/security/Bulletin/MS06-008.mspx
выявлена в службе Web Client service, и может эксплуатироваться
авторизованным пользователем с целью выполнения на компьютере
произвольных действий. Вторая дыра
http://www.microsoft.com/technet/security/Bulletin/MS06-007.mspx
позволяет организовать DoS-атаку на удаленный компьютер посредством
сформированных специальным образом IGMP-пакетов (Internet Group
Management Protocol - протокол управления группами в интернете).
Уязвимость, связанная с системой преобразования символов IME (Input
Method Editor) для корейского языка, предоставляет злоумышленникам
возможность повысить уровень своих привилегий. Данная брешь
http://www.microsoft.com/technet/security/Bulletin/MS06-009.mspx
присутствует в операционных системах Windows последних версий, а также
приложениях Microsoft Office 2003.
Наконец, еще одна дыра, охарактеризованная как важная, позволяет
получить несанкционированный доступ к данным, хранящимся в папке
временных файлов интернета (Temporary Internet Files). Для реализации
атаки нападающему необходимо разместить на веб-сайте сформированную
особым образом презентацию PowerPoint и затем заманить на этот сайт
жертву. Брешь
http://www.microsoft.com/technet/security/Bulletin/MS06-010.mspx
присутствует в приложении PowerPoint 2000.
