Kumulativní aktualizace aplikace Internet Explorer

Jako první je tento měsíc na pořadu MS Patch Festival Day už v podstatě pravidelný dvouměsíční „service pacík“ na Internet Explorer, tentokráte však pouze pro verzi IE7 (IE6 a starší prý postiženy nejsou). Řeší se v něm nově dva bezpečnostní problémy, oba mohou vést ke spuštění kódu útočníka (jeden z nich umí nějakým šikovným způsobem využít „patřičně upravené“ CSS styly na stránce).

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-002.

Díra v MS Exchange umožňuje vzdálené spuštění kódu

V Microsoft Exchange serveru byly objeveny dvě nové díry. Ta první, skrze niž může být spuštěn kód útočníka, zneužívá nedostatečně ošetřeného dekódování TNEF dat zprávy (formát, který Exchange používá při posílání zpráv formátovaných jako RTF) a kód útočníka pak může být spuštěn s právy běžící služby Exchange Serveru. Druhá už není tak „zlá“, může vést pouze k zatuhnutí služby (Denial of Service) a existuje v EMSMDB2 s nedostatečným ošetřením zpracování MAPI příkazů. Záplata se vztahuje na Microsoft Exchange 2000 Server SP3 s Update Rollup ze srpna 2004, Exchange Server 2003 se SP2 a Exchange Server 2007 se SP1 (zde 32bit. i 64bit. verze).

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-003.

Díra v Microsoft SQL Serveru umožňuje vzdálené spuštění kódu

Sice je tato záplata označena „jen“ jako důležitá, ale ani zde se nevyhneme potenciálnímu spuštění kódu útočníka.SQL Servery verze 2000 SP4 a 2005 SP2 (vč. 2005 Express Edition a 2005 Express Edition with Advanced Services) a dále MSDE 2000 SP4 a WMSDE 2000 (pro Windows Servery 2003) a konečně i Windows Internal Database (WYukon) SP2 pro Windows Servery 2003 a 2008 obsahují díru ve zpracování parametru v MSSQL extended stored procedure „sp_replwritetovarbin“, která již dokonce byla veřejně zpřístupněna (Microsoft však říká, že zatím neví o případech, kdy by byla zneužívána, možná proto nemá záplata nejvyšší důležitost).

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-004. Administrátorům před nasazením také doporučujeme pročíst článek znalostní báze KB959420 popisující možné problémy s touto záplatou.

Díra v Microsoft Office Visio umožňuje vzdálené spuštění kódu

Office Visio 2002 SP2, 2003 SP3 a 2007 SP1 obsahují tři nově objevené velice podobné bezpečnostní díry, které mohou vést skrze porušení části paměti ke spuštění kódu útočníka. Využívají k tomu upravené Visio soubory (k napadení tak dojde při jejich otevření) zaslané třeba e-mailem nebo stažené z útočníkovy stránky. Pravděpodobnost zneužití díry je nejspíše poměrně malá, Visio nejspíše nepoužívá každý uživatel a Microsoft tedy nepřidělil této záplatě nejvyšší důležitost. Ještě doplňme, že postiženy nejsou prohlížeče (Viewery – 2002, 2003, ani 2007).

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-005.

Nástroj na odstranění škodlivého softwaru

Nástroj na odstranění škodlivého softwaru tentokráte přidává na seznam odstranitelné havěti jeden kousek, konkrétně Win32/Srizbi známý také jako Rootkit.Win32.Agent.ea (u Kasperskyho) či Generic.dx (McAfee) nebo Troj/RKAgen-Fam (Sophos). Jedná se o vzdáleně ovládaného neřáda na rozesílání spamů, který také využívá rootkit techniky na vlastní maskování. Jeho základní komponentou je ovladač (instaluje se jako ovladač zařízení), starší verze této breberky jej pojmenovávaly qandr.sys, novější už vymýšlejí náhodná jména. Coby ovladač se také ukládá do složky, kde ovladače typicky přebývají, tedy <system folder>\drivers\. Novější verze programu, který jej zavádí, má také náhodné jméno a ukládá se do složky %windir% (typicky tedy WINDOWS) a nastavuje se do registru HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, aby se pro jistotu spustil s každým startem systému. Ve složce %temp% si vytváří dávkový soubor opět náhodného jména, který zavaděč smaže. Je to právě ovladač, který má vše na svědomí a je to také právě ovladač, který je před zraky uživatele v systému krytý rootkit technikami. Záznamy v registru nemaskuje. No a samozřejmě se snaží spojit s určitým serverem (často na portu 4099), odkud přijímá příkazy, seznamy e-mailových adres a spamy a rozesílá a rozesílá a rozesílá, tak jako to dělají mraky počítačů po celém světě.

• Nástroj na odstranění škodlivého softwaru: únor 2009 (verze 2.7): 32bitový a 64bitový (x64)