Microsoft łata luki: zobacz, co ważnego w biuletynach bezpieczeństwa

O autorze

Łukasz Tkacz

Microsoft łata swoje oprogramowanie. Ostatnia w tym roku paczka opublikowana w ramach „wtorkowych aktualizacji”, jaka pojawiła się w usłudze Windows Update to w większości łatanie znalezionych luk bezpieczeństwa w programach takich jak przeglądarka Internet Explorer, czy aplikacje wchodzące w skład pakietu Microsoft Office. Ze względu na dużą liczbę naruszeń bezpieczeństwa, zalecane jest jak najszybsze zainstalowanie poprawek.

Pierwsza z nich oznaczona jako MS14-80 łata aż 14 luk w przeglądarce Internet Explorer – cóż, wygląda na to, że ostatni raport Secunii dotyczący liczby podatności wykrywanych w oprogramowaniu będzie wyglądał nieco inaczej w podsumowaniu całorocznym. Problemy zgłoszone przez użytkowników i firmy takie jak HP czy Qihoo 360 są bardzo poważne. Dotyczą możliwości obejścia mechanizmu ochronnego ASRL i zdalne wykonanie kodu w sytuacji, gdy użytkownik odwiedził odpowiednio spreparowaną stronę. Łata została oznaczona za krytyczną w przypadku komputerów osobistych, nie jest aż tak istotna dla administratorów Windows Server, gdzie Internet Explorer domyślnie korzysta z innych, bezpieczniejszych ustawień.

Sporo luk znaleziono w pakiecie Office. Kolejna krytyczna paczka o oznaczeniu MS14-81 łata dwie z nich, jedną przeznaczoną dla programu Word, drugą dla webowego pakietu Office Web Apps. Również one pozwalały atakującemu na zdalne wykonanie kodu, choć w tym przypadku konieczne było przesłanie do użytkownika zainfekowanego pliku. Co ważne, na ataki podatne są także Maki. Problemy zostały wykryte przez Bena Hawkesa z grupy Google Project Zero, został on przez Microsoft wynagrodzony. Odpowiada on także za wykrycie podobnych problemów z użyciem odpowiednio spreparowanego arkusza kalkulacyjnego programu Excel (MS14-83), a także dokumentów (MS14-82). Na tym kłopoty się jednak nie kończą. Firmom SkyLined i VeriSign udało się wykonać zdalny kod (MS14-84) przy pomocy systemowego silnika odpowiedzialnego za VBScript – ponownie wystarczyło przygotować odpowiednią stronę, która pozwoliła na wykorzystanie luki i obejście zabezpieczeń.

Aż cztery problemy związane z bezpieczeństwem odkryto w serwerze Exchange. Jedna z nich pozwala nawet na podniesienie uprawnień, choć ze względu na ograniczone wykorzystanie tego rozwiązania, paczka MS14-75 łatająca te błędy została oznaczona „jedynie” jako ważna. Taki sam status otrzymało odkrycie innego pracownika Google, Michała Zalewskiego znanego w Sieci także pod pseudonimem lcamtuf. Paczka MS14-85 łata błąd w systemie graficznym Windowsa, który pozwalał na wykorzystanie zmodyfikowanego pliku JPEG do przechwycenia ważnych informacji systemowych jak np. danych, w jakie obszary pamięci operacyjnej zostały załadowane niektóre elementy systemowe. Jak widać, Windows wciąż jest oprogramowaniem dziurawym i ciągle są w nim znajdowane poważne problemy związane z bezpieczeństwem.

Tego typu problemów nie da się jednak uniknąć w oprogramowaniu o takiej wielkości. Sprawę z tego zdaje sobie również Adobe – ta firma także wydała paczki aktualizacyjne dla swojego oprogramowania. Sześć luk dotyczących zdalnego wykonywania kodu znaleziono we Flashu, a w Readerze i Acrobacie aż dwadzieścia. Załatano także dziurę pozwalającą na wykonywanie ataków DoS w oprogramowaniu ColdFusion. Zalecamy jak najszybsze skorzystanie z mechanizmu Windows Update, a także aktualizację całego oprogramowania zainstalowanego na komputerze – dowolny program może zawierać poważne błędy.