Grudniowe biuletyny bezpieczeństwa Microsoftu

W grudniu Microsoft wydał trzynaście biuletynów bezpieczeństwa. Trzy z nich oznaczono jako krytyczne a dziesięć jako ważne.

Listę biuletynów krytycznych otwiera MS11-087, w którym Microsoft opisał dziurę w sterownikach trybu jądra. Umożliwia ona zdalne wykonanie dowolnego kodu, jeśli użytkownik otworzy odpowiednio spreparowany dokument lub stronę z osadzoną czcionką TrueType. Jest to kolejna dziura w jądrze związana z czcionkami, którą Microsoft łata w ostatnim czasie. Ostatnia była zaledwie przed miesiącem. Biuletyn MS11-090 dotyczy ActiveX i łata lukę w Internet Explorerze, która pozwala na zdalne wykonanie kodu. Biuletyn aktualizuje także listę tzw. kill bits. W biuletynie MS11-092 zawarto poprawkę na dziurę w Windows Media, która pozwala na zdalne wykonanie kodu jeśli ofiara otworzy odpowiednio spreparowany plik .dvr-ms.

Pierwszy z ważnych biuletynów (MS11-088) jest dosyć ciekawy. Dotyczy on systemów, gdzie pakiet Office wyposażony jest w Input Method Editor dla uproszczonego chińskiego, w wersji pinyin (Microsoft Pinyin, MSPY). Dzięki niemu można pisać po chińsku, korzystając z łacińskiej transkrypcji. Niestety występuje w nim dziura pozwalająca na wykonanie dowolnego kodu w trybie jądra. Biuletyn MS11-089 także dotyczy Office. Łatana dziura umożliwia wykonanie dowolnego kodu gdy ofiara otworzy odpowiednio spreparowany plik Worda. Kod wykonywany jest z jej uprawnieniami. Biuletyn MS11-091 dotyczy Publishera, a więc także Office. Biuletyn ten łata trzy luki, z których najgroźniejsza pozwala na zdalne wykonanie kodu jeśli ofiara otworzy odpowiednio spreparowany plik Publishera. Dziurę w OLE opisuje biuletyn MS11-093. Aby wykonać dowolny kod na komputerze ofiary, atakujący musi nakłonić ją do otwarcia pliku zawierającego odpowiednio spreparowany obiekt OLE. Biuletyn MS11-094 jest podobny do MS11-089. Otwarcie odpowiednio spreparowanego pliku PowerPointa pozwala na zdalne wykonanie dowolnego kodu. W biuletynie MS11-095 opisano dziurę występującą w Active Directory, Active Directory Application Mode (ADAM) i Active Directory Lightweight Directory Service (AD LDS). Dziura ta pozwala użytkownikowi, który zalogował się do AD, na zdalne wykonanie kodu. Musi on w tym celu uruchomić odpowiedni exploit. Biuletyn MS11-096 dotyczy Excela, i podobnie jak MS11-094 i MS11-089 pozwala na zdalne wykonanie kodu przy otwarciu odpowiednio spreparowanego pliku. Dziura w Windows Client/Server Run-time Subsystem została opisana w biuletynie MS11-097. Zalogowany użytkownik uruchamiający odpowiednio exploit może podnieść swoje uprawnienia. Dziura łatana przez MS11-098 dotyczy trybu jądra i także pozwala na podniesienie uprawnień za pomocą exploita. Ostatni biuletyn to MS11-099. Jest to zbiorcza poprawka dla Internet Explorera i jest trochę nietypowa, ponieważ nie ma statusu krytycznego. Łata ona trzy luki, z których najgroźniejsza pozwala na zdalne wykonanie kodu, jeśli użytkownik otworzy plik HTML z katalogu, w którym znajdował się plik DLL ze szkodliwym kodem. Jest to więc luka, którą Microsoft łata od prawie dwóch lat w swoich programach.

Webcast poświęcony grudniowym biuletynom odbędzie się o godzinie 20 czasu polskiego.