Dubnové bezpečnostní záplaty od Microsoftu
Jak jsme vás již ve čtvrtek minulý týden navnadili, jsou tu po březnové přestávce dubnové záplaty od Microsoftu a je jich slibovaných 8. Pět z nich se týká Windows a z toho dvě jsou kritické (jedna z těch kritických je kumulativní aktualizace Internet Exploreru), ostatní „jen“ důležité. Zbylé tři, všechny kritické, se týkají Exchange Serveru, MSN Messengeru a Microsoft Office, konkrétně aplikací Word a Works. Dohromady však záplatují celkem 16 bezpečnostních děr! Přidáme také pravidelný nástroj na odstranění škodlivého softwaru, dáme si také od pondělka existující Windows Installer 3.1 a na závěr jeden drobný bonus.
Díra ve Windows Shellu umožňuje vzdálené spuštění kódu
Už nadpis napovídá hodně, ale pár podrobností neuškodí. K napadení systému útočníkem, který pak může převzít kompletní kontrolu nad systémem, může dojít za předpokladu, že je k počítači přihlášen uživatel s administrátorskými právy a musí navíc otevřít z mailu přílohu útočníkem zaslanou, nebo se podívat na speciálně připravenou web stránku. Tato součinnost uživatele s útočníkem dala potřebné záplatě do vínku přívlastek jen „důležitá“.
Existuje možnost, jak tuto díru „ucpat“ i bez instalace záplaty. Stačí příkazem
%windir%\system32\mshta.exe /unregister
vyřadit z provozu „HTML Application Host“. Důsledkem toho samozřejmě bude nemožnost otevírat soubory s příponou .hta pouhým otevřením v průzkumníku (budete dotázáni na výběr aplikace k otevření souborů tohoto typu). Pokud byste chtěli po aplikaci záplaty znovu „HTML Application Host“ spustit, spusťte výše uvedený příkaz s parametrem „/register“.
Postižena je celá řada systémů Windows včetně 98/98SE a ME. Protože však nejde o záplatu kritickou, není pro tyto staré nepodporované systémy k dispozici. Mezi nepostižené systémy patří Windows Server 2003 se SP1 pro IA-32 a IA-64 procesory a také Windows XP a Windows Server 2003, ale v obou případech pouze pro x64 systémy (procesory s 64bitovým rozšířením AMD64, resp. EM64T). Další informace poskytne Microsoft Security Bulletin MS05-016.
Odkazy ke stažení:
- Windows 2000 SP3 a SP4: české a anglické
- Windows XP SP1 a SP2: české a anglické
- Windows Server 2003 (bez SP1): český a anglický
- Windows Server 2003 (bez SP1): český a anglický
- Windows XP 64-bit Edition SP1: anglické
- Windows XP 64-Bit Edition Version 2003 a
Windows Server 2003 64-bit Edition: anglicky
Díra v Message Queuing umožňuje vzdálené spuštění kódu
Aplikaci založenou na Microsoft Message Queuing (MSMQ) mít pravděpodobně nainstalovanou nebudete, není totiž standardní součástí žádného s postižených systémů. V některých firmách se však MSMQ používá a v takovém případě jsou počítače (pokud nejsou zabezpečeny firewallem s blokovanými příslušnými porty) vystaveny nebezpečí vzdáleného spuštění kódu zasláním speciálně upraveného požadavku na děravý počítač. Záplata je označena „jen“ jako „důležitá“ právě proto, že MSMQ není standardní součástí systému.
I tentokráte jsou postiženy Windows 98 a 98SE (ME nikoli), záplata pro ně z důvodu „neextrémní nebezpečnosti“ není. Nepostiženy jsou dále Windows XP se SP2, kompletní řada Windows Serveru 2003 a 64bitová XPčka verze 2003 pro procesory Itanium. O x64 systémech se tentokráte vůbec nehovoří. Bližší informace podá Microsoft Security Bulletin MS05-017.
Odkazy ke stažení:
- Windows 2000 SP3 a SP4: české a anglické
- Windows XP SP1: české a anglické
- Windows XP 64-Bit Edition SP1: anglické
Chyby v kernelu systému umožňují maximálně zvýšení práv
Společná záplata na čtyři chyby je označena také jako důležitá, nikoli kritická, a to proto, že k ovládnutí systému musí být útočník ve všech případech na napadnutelném počítači místně přihlášen. Nelze tedy systém skrze tyto díry napadnout vzdáleně. Útočník, kterému se napadení povede, může převzít kompletní kontrolu nad systémem, nebo alespoň zahltí systém (Denial of Service) a ke zvýšení jeho práv nedojde.
Záplata nahrazuje několik předchozích, v závislosti na použitém systému. V případě Windows 2000 jde o záplatu ze Security Bulletinu MS03-045 a MS05-002, v případě Windows XP se SP1 je to MS03-013 a opět MS05-002 a v případě Windows Serveru 2003 nahrazuje záplatu z Bulletinu MS04-032. Postižení se opět týká v tomto případě nepodporovaných Windows 98/98SE/ME, naopak se netýká Windows Serverů 2003 se SP1 (klasický i 64bitový pro procesory Itanium) a x64 systémů Windows XP a Windows Server 2003. Podrobnosti naleznete (jako obvykle) v Microsoft Security Bulletinu MS05-018.
Microsoft v souvislosti s touto záplatou upozorňuje na jednu kosmetickou vadu, která se týká Windows XP se SP2. Necháte-li si po instalaci této záplaty zobrazit aktualizace zaškrtnutím příslušného políčka v ovládacím panelu „Přidat nebo odebrat programy“, zobrazí se tato aktualizace mimo pořadí na začátku seznamu, protože se u ní není uvedeno datum instalace. Problém popisuje článek KB890859 ze znalostní báze Microsoftu.
Odkazy ke stažení:
- Windows 2000 SP3 a SP4: české a anglické
- Windows XP SP1 a SP2: české a anglické
- Windows Server 2003 (bez SP1): český a anglický
- Windows XP 64-Bit Edition SP1: anglické
- Windows XP 64-Bit Edition Version 2003 a
Windows XP 64-bit Edition, Version 2003: anglicky
Chyby ve zpracování IP paketů mohou dovolit vzdálené spuštění kódu či zatuhnutí systému
Další čtyři díry jsou dohromady označeny jako kritické, protože se útočníkovi může při troše štěstí zasláním speciálně upraveného IP paketu na nezabezpečený počítač povést vzdálené spuštění kódu. S největší pravděpodobností však dojde pouze k zatuhnutí systému (Denial of Service) a následnému automatickému restartu, u jedné ze čtyř děr je však možné pouze resetovat TCP spojení mezi dvěma počítači. Pravděpodobnost napadení se však snižuje tím, že většina routerů (nebo směrovačů, jak chcete) právě takovéto pochybné a upravené pakety vůbec nepředává, takže na počítač zpravidla „z větší vzdálenosti“ vůbec nedorazí. Navíc můžete hrozbu výrazně zredukovat, pokud na firewallu zamezíte příchodu ICMP paketů (Internet Control Message Protocol), což ale může negativně ovlivnit výkon TCP/IP.
Díra nepostihuje (a záplata tedy není pro) systémy Windows Server 2003 se SP1 (klasické i 64bitové pro procesory Itanium) a x64 systémy Windows XP / Server 2003. Záplata není označena jako kritická pro Windows 98/98SE/ME, takže pro ně jednoduše není k dispozici.
Ve Windows XP se SP2 po instalaci dojde k téže kosmetické vadě v ovládacím panelu „Přidat nebo odebrat programy“, jako u předchozí záplaty, problém popisuje článek KB893066. Ve Windows 2000 se SP3 (nikoli SP4) může po instalaci aktualizace dojít ke zpomalení sítě na 100MBitovém ethernetu až na jednu čtvrtinu rychlosti. Jak toto vyřešit, popisuje článek KB890345 ze znalostní báze Microsoftu (ten sem záměrně neopisuji, protože není zrovna pro začátečníky, pokročilí uživatelé si jistě s odkazem vystačí). Veškeré detaily týkající se této záplaty popisuje Microsoft Security Bulletin MS05-019.
Odkazy ke stažení:
- Windows 2000 SP3 a SP4: české a anglické
- Windows XP SP1 a SP2: české a anglické
- Windows Server 2003 (bez SP1): český a anglický
- Windows XP 64-Bit Edition SP1: anglické
- Windows XP 64-Bit Edition Version 2003 a
Windows XP 64-bit Edition, Version 2003: anglicky
Kumulativní aktualizace pro Internet Explorer
Tato kumulativní záplata, která nahrazuje předchozí, popsanou v Security Bulletinu MS05-014, zahrnuje další tři chyby, které mohou při návštěvě útočníkovy stránky způsobit vzdálené spuštění kódu se všemi následky z toho vyplývajícími. Tradičně nejsou postiženy nejnovější systémy, tedy Windows Servery 2003 SP1 (klasické i pro Itania) a x64 Windows XP s Windows Serverem 2003. Podrobnosti obsahuje Microsoft Security Bulletin MS05-020.
Odkazy ke stažení:
- Internet Explorer 5.01 SP3 na Windows 2000 SP3: český a anglický
- Internet Explorer 5.01 SP4 na Windows 2000 SP4: český a anglický
- Internet Explorer 6 SP1 na Windows 2000 SP3 či SP4 a Windows XP SP1: český a anglický
- Internet Explorer 6 SP2 na Windows XP SP2: český a anglický
- Internet Explorer 6 na Windows Serveru 2003 (bez SP1): český a anglický
- Internet Explorer 6 SP1 na Windows XP 64-Bit Edition SP1: anglický
- Internet Explorer 6 na Windows Serveru 2003 64-bit Edition či Windows XP 64-Bit Edition Version 2003: anglický
- Internet Explorer 5.5 pro ME: český, slovenský a anglický
- Internet Explorer 6 pro Windows 98/98SE/ME: Windows Update
Díra v Exchange Serveru umožňuje vzdálené spuštění kódu
V některých verzích Microsoft Exchange serveru existuje kritická díra, pomocí které může útočník zasláním speciálně upraveného příkazu na SMTP port serveru provést vzdálené spuštění kódu s oprávněním služby SMTP. U Exchange 2000 serveru to může být libovolný uživatel, u Exchange Serveru 2003 je riziko výrazně menší, protože toto napadení může být provedeno pouze na určité úrovni ověření, např. z jiného autorizovaného Exchange serveru v téže společnosti. Postižené jsou pouze níže uvedené produkty, mezi nepostižené patří Exchange Server 5.5 SP4 a 5.0 SP2. Podrobnosti popisuje Microsoft Security Bulletin MS05-021.
Odkazy ke stažení:
- Exchange 2000 Server SP3: anglický
- Exchange Server 2003 (bez SP): anglický
- Exchange Server 2003 SP1: anglický
Díra v MSN Messengeru 6.2 umožňuje vzdálené spuštění kódu
Tato záplata, označená jako kritická, nahrazuje předchozí, popsanou v Security Bulletinu MS05-009. Podobně, jako tehdy, i nyní stačí ke vzdálenému spuštění kódu útočníkem pomocí MSN Messengeru zaslat uživateli speciálně upravený obrázek, tentokráte ve formát GIF. Útočník vás však nejprve musí přesvědčit, abyste si jej přidali do kontaktů (contact list), protože Messenger ve výchozím nastavení nedovoluje přijímat zprávy od neznámých uživatelů.
K dispozici je ke stažení aktualizace pro verzi 6.2 jako 6.2.0208. Postižena je taktéž verze 7.0 beta, ze které je doporučeno aktualizovat na finální verzi 7.0, která postižena není. Další podrobnosti naleznete v Microsoft Security Bulletinu MS05-022.
Odkazy ke stažení:
Díry ve Wordu umožňuje spuštění kódu útočníka
Tato záplata s označením „kritická“ nahrazuje jednu starší z listopadu roku 2003 (popsána v Security Bulletinu MS03-050). Opět jde o možnost spuštění zákeřného kódu útočníka, který vám speciálně upravený dokument zašle třeba mailem, případně jej vystaví někde na webu a zašle vám pouze odkaz na něj. Čím větší práva uživatel, který takový dokument otevře, má, tím více škody může útočníkův kód napáchat. Spouští se totiž s oprávněním právě přihlášeného uživatele, takže takový administrátor, který onen zákeřný dokument otevře, má pak o zábavu postaráno. Z technického hlediska jsou obě díry klasickým přetečením bufferu, takže by například Windows XP se SP2 měly být proti těmto dírám odolné, avšek v Microsoft Security Bulletinu MS05-023 se o tom nic nepíše.
Odkazy ke stažení:
- MS Word 2000 a Works Suite 2001 (nutný Office 2000 SP3):
- MS Word 2002, MS Works Suite 2002, MS Works Suite 2003 a MS Works Suite 2004:
- MS Office Word 2003 (nutný Office 2003 SP1):
Nástroj na odebrání nebezpečného softwaru - verze 1.3
Dubnové vydání tohoto jednorázového nástroje na likvidaci známé škodné havěti přidává do svého seznamu další tři kousky, jejichž míra nebezpečnosti je označena jako mírná (Moderate). Jsou jimi viry Win32/Hackdef, Win32/Mimail a Win32/Rbot. Nástroj tedy nyní umí detekovat a odstranit rovných 20 druhů havěti a dnes máte možnost stáhnout si jeho verzi 1.3.
Windows Installer 3.1
Pokud byste měli zájem nainstalovat si do svého systému Windows Installer 3.1, nabízíme vám nyní snadnou příležitost. Installer 3.1 je k dispozici pro Windows 2000 (SP3 a SP4), Windows XP (od verze bez SP až po SP2) a Windows Server 2003, do kterého se vám Installer 3.1 dostane spolu s instalací Service Packu 1.
Windows Update verze 6
No, a na závěr, pokud máte chuť a náladu aktualizovat pomocí šestkové verze systému Windows Update, není nic snazšího než navštívit v Internet Exploreru níže uvedený odkaz. Windows Server 2003 s instalovaným SP1 už tímto způsobem aktualizuje, pro Windows XP je zatím, jak se zdá, v beta fázi.
