W listopadzie Microsoft wydał cztery biuletyny bezpieczeństwa. Jeden z nich oznaczono jako krytyczny, dwa jako ważne, a jeden jako średnio ważny.
Biuletyn krytyczny jest dosyć ciekawy, ponieważ dotyczy dziury w stosie TCP/IP, umożliwiającej atak z wykorzystaniem pakietów wysyłanych na zamknięte porty UDP (MS11-083). Przy odbieraniu pakietów UDP, zapisywane są dla nich dane w tablicy indeksowanej licznikiem. Jeśli atakujący będzie wysyłał bardzo dużo pakietów, licznik może się zapętlić (błąd przepełnienia całkowitego) i wskazywać na mniej lub bardziej prawidłowe dane. To, co się wtedy stanie, jest więc niedeterministyczne. Ogólnie mogą wystąpić cztery sytuacje: odwołanie do starych danych, odwołanie do zwolnionych danych i zawieszenie systemu, odwołanie do danych realokowanych w tym samym miejscu, lub też odwołanie do danych realokowanych dla innej struktury, powodujące nadpisanie pamięci albo zdalne wykonanie kodu. Tak więc atak nie jest prosty, gdyż atakujący nie tylko musi wstrzelić się w odpowiednie okienko czasowe, ale też mieć szczęście co do tego, jak akurat są ułożone dane w pamięci. Dlatego też stworzenie niezawodnego exploitu będzie trudne. Niemniej dziura jest dosyć poważna, ponieważ występuje w jądrze i pozwala na przejęcie pełnej kontroli nad systemem. Ponadto przed atakiem nie zabezpieczą zainstalowane na komputerze firewalle, ochronę mogą zapewnić tylko firewalle zewnętrzne lub też architektura sieci (np. NAT). Ciekawe jest też samo to, że tego typu błąd w stosie TCP/IP zostaje odkryty teraz. Ataki typy ping of death to raczej koniec ubiegłego wieku. Przyczyna jest zapewne prosta - przepisanie stosu TCP/IP w czasie prac nad Vistą. W ten sposób pojawiły się znów błędy dawno uważane za rozwiązane. Potwierdza to lista systemów, których dotyczy opisywany problem: właśnie od Visty do najnowszych 7 i 2008 R2. XP i 2003 są bezpieczne.
Ważny biuletyn MS11-085 opisuje lukę w programach Windows Mail i Windows Meeting Space. Lukę tę opisywaliśmy już wielokrotnie, ponieważ Microsoft od ponad roku bez przerwy ją łata w kolejnych swoich programach. Polega ona na tym, że aplikacja może załadować bibliotekę DLL i wykonać zawarty w niej kod, jeśli znajduje się ona w katalogu roboczym aplikacji. A katalogiem roboczym może być jakaś niezaufana lokalizacja, np. udział sieciowy. Z kolei biuletyn MS11-086 dotyczy dziury w usługach: Active Directory, Active Directory Application Mode (ADAM) i Active Directory Lightweight Directory Service (AD LDS). Umożliwia ona podniesienie uprawnień, jeśli atakujący wykorzysta odwołany certyfikat do zalogowania się do domeny. Do ataku wymagane jest włączenie LDAP over SSL. Średnio ważny biuletyn MS11-084 poświęcono luce w sterownikach trybu jądra, która pozwala na wykonanie ataku odmowy usługi, jeśli ofiara otworzy odpowiednio spreparowany plik czcionki TrueType. Jest to już co najmniej czwarta dziura w tym roku dotycząca czcionek, przy czym luka wykorzystywana przez robaka Duqu nadal czeka na załatanie. Microsoft swego czasu zdecydował, aby dla przyspieszenia renderowania czcionek przeprowadzać je w jądrze. Wzrost wydajności zapewne został odnotowany, ale też znacznie zwiększyła się podatność na ataki.
Webcast poświęcony październikowym biuletynom odbędzie się o godzinie 20 czasu polskiego.
