Díry ve Wordu umožňují vzdálené spuštění kódu

V aplikaci Microsoft Word ve všech podporovaných sadách Office byly objeveny dvě nové díry, které obě umožňují spuštění kódu útočníka, pokud jej tento šikovně vpraví do dokumentu v prvním případě ve formátu RTF a v druhém ve formátu DOC (jde o upravené CSS hodnoty). Postižené nejsou sady Microsoft Works 8.0, 8.5, 9.0 a Works Suite 2005 a 2006.

Záplata také nahrazuje některé dříve vydané, podle toho, na jakou aplikaci se vztahuje. V případě Office 2000 až 2003 a Word Vieweru 2003 je to letošní únorový Security Bulletin MS08-009, v případě Office 2004 a 2008 for Mac pak březnový Security Bulletin MS08-0014 a speciálně v případě Word Vieweru 2003 se SP3 je to loňský květnový MS07-024.

Za zmínku ještě stojí, že aplikací této aktualizace lze zmírnit možnost napadení skrze bezpečnostní díru v Microsoft Jet Database Engine, kterou popisuje také nyní vydaný Security Bulletin MS08-028, o němž se budeme bavit až za chvilku. Mimo jiné tato aktualizace způsobí, že Word se bude dotazovat na spuštění případných v dokumentu vnořených SQL dotazů. Více napoví Microsoft Security Bulletin MS08-026.

Odkazy ke stažení:

• Office 2000 SP3 (KB950250): česky, slovensky a anglicky
• Office XP SP3 (KB950243): česky, slovensky a anglicky
• Office 2003 SP2 i SP3 (KB950241): česky, slovensky a anglicky
• Word Viewer 2003 bez i se SP3 (KB950625): česky, slovensky a anglicky
• Office 2007 bez i se SP1: jazykově neutrální
• Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats bez i se SP1 (KB951808): jazykově neutrální
• Office 2004 for Mac, update 11.4.1 (KB952332): anglicky
• Office 2008 for Mac, update 12.1.0 (KB952331): anglicky

Díra v Microsoft Publisheru umožňuje vzdálené spuštění kódu

Tentokráte jde o celkem standardní scénář, kdy může soubor pro Microsoft Publisher obsahovat patřičně vpravený kód útočníka, který se spouští s právy aktuálně přihlášeného uživatele. Dodejme tedy jen, že záplata nahrazuje některé dříve vydané, v případě Office 2000 až 2003 SP2 jde o letošní únorový Security Bulletin MS08-012 a v případě Office 2007 pak loňský červencový MS07-037. Další podrobnosti přináší Microsoft Security Bulletin MS08-027.

Odkazy ke stažení:

• Office 2000 SP3: česky, slovensky a anglicky
• Office XP SP3: česky a anglicky
• Office 2003 SP2 i SP3: česky, slovensky a anglicky
• Publisher 2007 bez i se SP1: jazykově neutrální

Díra v Microsoft Jet 4.0 Database Engine umožňuje vzdálené spuštění kódu

Začíná jít do tuhého, díra, která byla objevena v Microsoft Jet Database Engine, se totiž už aktivně zneužívá a i Microsoft má zprávy od uživatelů o napadení (dlužno dodat, že o tom Microsoft ví už od 21. března, kdy vydal příslušné Security Advisory pod číslem 950627). Problematickým souborem je MSJET40.DLL, nebezpečnými soubory pak ty s příponou .mdb, přičemž existuje i možnost, jak takový soubor otevřít ve Wordu (a tuto možnost právě komplikuje dnes zmíněný Security Bulletin MS08-026). Postiženými systémy jsou Windows 2000 SP4, v jejichž případě záplata nahrazuje jednu prastarou, kterou popisuje Security Bulletin MS04-014 z dubna roku 2004, Windows XP SP2 a starší verze Windows 2003 Serveru a XP x64, které ještě nemají SP2. Mimo nebezpečí jsou tak uživatelé, kteří již mají na Windows XP SP3, na Windows Serveru 2003 a Windows XP x64 SP2 a samozřejmě všechny Windows Vista a Servery 2008. Další podrobnosti se můžete dočíst v Microsoft Security Bulletinu MS08-028.

Odkazy ke stažení (KB950749):

• Windows 2000 SP4: česky a anglicky
• Windows XP SP2: česky a anglicky
• Windows Server 2003 bez SP2: česky a anglicky
• Windows Server 2003 x64 a Windows XP x64 bez SP2: anglicky
• Windows Server 2003 IA-64 bez SP2: anglicky

Díry v Microsoft Malware Protection Engine mohou způsobit zatuhnutí

Zbystřete, používáte-li některou službu od společnosti Microsoft, která používá tzv. „Malware Protection Engine“. Byly v ní objeveny dvě bezpečností díry nikterak závažného charakteru, které, pokud je útočník dokáže využít, mohou způsobit zatuhnutí systému. Obě jsou podobného charakteru, stačí, když útočník vytvoří nějaký libovolný souboru a podaří se mu jej vpravit jej na váš počítač, typicky tím, že jej předloží ke zpracování webovému prohlížeči. Jakmile dojde ke skenování takovéhoto souboru pomocí Microsoft Malware Protection Engine, tato komponenta z něj tak trochu zešílí a podle toho, která chyba je zneužita, může dojít buďto k zatuhnutí dané služby a posléze i celého systému, anebo najednou začne zběsile makat disk, jak jej začne Microsoft Malware Protection Engine urputně zaplňovat, načež se systém řádně zahltí.

Mezi služby a aplikace, které Microsoft Malware Protection Engine využívají, patří:

• Windows Live OneCare
• Microsoft Antigen for Exchange
• Microsoft Antigen for SMTP Gateway
• Microsoft Windows Defender
• Microsoft Forefront Client Security
• Microsoft Forefront Security for Exchange Server
• Microsoft Forefront Security for SharePoint
• Standalone System Sweeper located in Diagnostics and Recovery Toolset 6.0

Záplatu ke stažení vám nenabídneme, každá ze zmíněných služeb nebo aplikací by měla obsahovat vlastní mechanizmus pro aktualizaci Microsoft Malware Protection Engine. Například ve Windows Defenderu to vypadá takto:

Jádrem Microsoft Malware Protection Engine je soubor mpengine.dll. Různé aplikace navíc používají různé verze, takže raději projeďte všechny ze zmíněných, které máte. Některé si Malware Protection Engine aktualizují úplně samy, u jiných je možnost udělat to ručně. Verze, které jsou již proti zmíněným problémům imunní, jsou 1.1.3520.0 a 0.1.13.192 (případně vyšší). Více podrobností naleznete v Microsoft Security Bulletin MS08-029 (KB952044).

Nástroj na odstranění škodlivého softwaru

Letošní květnový nástroj na odstranění škodlivého softwaru přidává na svou pažbu dva zajímavé zářezy. První nese jméno Win32/Oderoor a jde o trojského koně vytvářejícího v PC zadní vrátka pro zneužívání útočníky, kteří tak mají počítač pod kontrolou a mohou na něm provádět prakticky cokoli. Mezi některé vzdálené příkazy patří stažení a spuštění libovolného exe souboru, shromažďování e-mailových adres a posílání spamů. Druhá potvůrka se zove Win32/Captiya a už podle názvu lze uhádnout, že jde o další pokus o obcházení CAPTCHA kódů typicky pro registraci e-mailů na portálech Hotmail, AOL, Gmail, Lycos a dalších (prakticky jde o jednu z variant Win32/Newacc, o němž jsme se bavili minulý měsíc).

• Nástroj na odstranění škodlivého softwaru ? květen 2008 (verze 1.41): 32bitový a 64bitový (x64)