Díra v NetWare klientovi umožňuje vzdálené spuštění kódu

Začneme onou „důležitou“. Pokud sledujete bezpečnostní záplaty pravidelně, asi vás napadne, že podobnou díru už Microsoft záplatoval. Je to tak, tato nová nahrazuje loňskou z října, popsanou v Security Bulletinu MS05-046. V klientovi služby NetWare byla objevena další díra, skrze kterou může útočník spustit na uživatelově PC vlastní kód. Další problém se však objevil v samotném NetWare ovladači, na který je též možné vzdáleně zaútočit, ale způsobí to pouze zatuhnutí systému (jde o útok typu DoS). Nižší důležitost dostala záplata zejména proto, že NetWare klient není ve výchozí konfiguraci instalován. Ve Windows XP Home Edition pak není přítomen vůbec, ani jako volitelná součást, takže tato verze systému postižena není. Záplata se rovněž netýká 64bitových verzí Windows (ať už x64 či IA-64). Další podrobnosti naleznete v Microsoft Security Bulletinu MS06-066.

Odkazy ke stažení (KB923980):

• Windows 2000 SP4: české a anglické
• Windows XP SP2: české a anglické
• Windows Server 2003 bez a se SP1: český a anglický

Kumulativní aktualizace aplikace Internet Explorer

Možná to někdo čekal, možná ne, každopádně kumulativní aktualizace se netýká Internet Exploreru 7, takže veškeré doposud nalezené chybičky zůstávají nedotčeny. Nejnovější kumulativní aktualizace Internet Explorerů šesté řady (a pro Windows 2000 také verze 5.01) přidává záplatu dvou děr. Jedna je v ActiveX komponentě DirectAnimation. I tentokráte by to „pamětníkům“ mohlo něco připomenout. Ano, na záplatu této díry se čeká už od září. Druhá díra, kterou tato kumulativní aktualizace záplatuje, je přímo ve způsobu renderování HTML stránek, kdy útočníkova speciálně upravená může způsobit porušení části paměti a skrze tuto chybu pak dojde ke spuštění vloženého kódu. Záplata samozřejmě nahrazuje předcházející kumulativní aktualizaci, která se objevila v srpnovém Security Bulletinu MS06-042, aby pak následně byla dvakrát opravena. Více podrobností přináší Microsoft Security Bulletin MS06-067.

Odkazy ke stažení (KB922760):

• Internet Explorer 5.01 pro Windows 2000 SP4: český a anglický
• Internet Explorer 6 SP1 pro Windows 2000 se SP4: český a anglický
• Internet Explorer 6 pro Windows XP SP2: český a anglický
• Internet Explorer 6 pro Windows Server 2003 bez i se SP1: český a anglický
• Internet Explorer 6 pro Windows XP x64: anglický
• Internet Explorer 6 pro Windows Server 2003 x64: anglický
• Internet Explorer 6 pro Windows Server 2003 IA-64 bez i se SP1: anglický

Díra v Microsoft Agentovi umožňuje vzdálené spuštění kódu

Tato kriticky označená záplata řeší problém, který může znít tak trochu komicky. Ostatně podobně působil i popis díry v téže součásti systému v červnu loňského roku. Zatímco však Security Bulletin MS05-032 popisoval záplatu označenou jako „střední“, tentokráte jde do tuhého. Merlinovi či jeho pokrevním nestvůrám totiž může „rupnout v bedně“ a vzdálené spuštění kódu je nasnadě. Pojem „rupnout v bedně“ byl zvolen záměrně, podobnost s porušením části paměti je totiž docela příhodná. Dojít k tomu může tak, že vám útočník podstrčí speciálně upravený .ACF soubor, který porušení části paměti způsobí a následně se spustí útočníkův dobře ukrytý kód. A kdybyste náhodou nevěděli, co to Microsoft Agent je, zkuste v Internet Exploreru tuto stránku (strach mít nemusíte, přestože vám možná Internet Explorer řekne, že se pokoušíte načíst pomocníka softwaru Microsoft Agent z nedůvěryhodného serveru, je to bezpečné). Více podrobností o této záplatě se dočtete v Microsoft Security Bulletinu MS06-068.

Odkazy ke stažení (KB920213):

• Windows 2000 SP4: české a anglické
• Windows XP SP2: české a anglické
• Windows Server 2003 bez a se SP1: český a anglický
• Windows XP x64: anglické
• Windows Server 2003 x64: anglický
• Windows Server 2003 IA-64 bez a se SP1: anglický

Díra v Macromedia Flash Playeru 6 umožňuje vzdálené spuštění kódu

I toto tu už jednou bylo. Letos v květnu popisoval Security Bulletin MS06-020 díru v Macromedia Flash Playeru, který je distribuován společností Microsoft ve Windows XP. Jde konkrétně o verzi 6.0.79, která je postižena a kterou květnová záplata opravovala. Našly se však další chyby, které tato záplata neřeší, takže je tu další oprava, která tu předchozí nahrazuje. Kromě této záplaty od Microsoftu můžete též využít možnosti nainstalovat si rovnou nejnovější verzi Adobe Flash Playeru (aktuálně 9.0.28.0), neboť i ve verzích 8 a starších jsou známy jisté bezpečnostní trhliny. Současnou verzi si snadno můžete zjistit ve vašem prohlížeči navštívením patřičné stránky u společnosti Adobe. Více podrobností o této záplatě naleznete v Microsoft Security Bulletinu MS06-069.

Odkazy ke stažení (KB923789) jsou pro Windows XP x64 stejné, jako pro Windows XP SP2, neboť Flash Player je 32bitová aplikace i v x64 verzi Windows XP.

• Windows XP SP2 či Windows XP x64: české a anglické (pro x64 má smysl jen anglická verze záplaty)

Díra ve službě „Pracovní stanice“ umožňuje vzdálené spuštění kódu

Další kritická díra se vyskytuje v nejpoužívanějších operačních systémech Windows XP a Windows 2000. Tentokrát je ve službě „Pracovní stanice“ (Workstation Service), která toho má v systému na starosti poměrně hodně. Jedinou obranou proti ní je tradičně firewall a blokování příchozích TCP portů 139 a 445. Označení „kritická“ dostala tato záplata především kvůli Windows 2000, ty je totiž možné touto cestou napadnout vzdáleně kýmkoli. Windows XP může tímto způsobem kompromitovat pouze uživatel s administrátorským oprávněním, čímž celá díra ztrácí na efektu a proto nese je pro tento systém označení „nízká“. Více podrobností se můžete dočíst v Microsoft Security Bulletinu MS06-070, včetně takových detailů, jakože tato záplata nahrazuje dvě dříve vydané, jednu popisuje Security Bulletin MS03-049 z listopadu roku 2003, druhou pak poněkud čerstvější Bulletin MS06-040 z letošního srpna.

Odkazy ke stažení (KB924270):

• Windows 2000 SP4: české a anglické
• Windows XP SP2: české a anglické

Díra v Microsoft XML Core Services umožňuje vzdálené spuštění kódu

Jako poslední tu máme záplatu na nedávno objevenou díru v MS XML Core Services, což je služba, kterou s sebou přináší spousta aplikací, Windows díky Internet Exploreru nevyjímaje, takže je docela možné, že máte v systému i více verzí naráz. Stačí se jen podívat do systémové složky („system32“ ve složce Windows) a hledat .dll soubory začínající na msxml… (na seznam verzí MSXML Parseru se také můžete podívat u Microsoftu, je to vskutku zajímavé čtení). Záplata však řeší možnost vzdáleného spuštění kódu na verzích 4 a 6, které podle Microsoftu nejsou standardní součástí Windows, takže pokud jste do čistého systému nedávali nic dalšího se zranitelnými XML Core Services, neměli byste mít v této části děravo. Jak zjistíte, že tomu tak je či není? Ve výše zmíněné systémové složce hledejte soubory msxml4.dll nebo msxml6.dll. Pokud je jejich verze nižší než 4.20.9841.0 resp. 6.0.3890.0, měli byste aplikovat tuto záplatu, která pro zmíněné verze 4 a 6 nahrazuje též dříve vydanou (popisoval ji Security Bulletin MS06-061 z balíku záplat z minulého měsíce, ta však opravovala také verzi 2.6 v Core Services 3.0). Podrobně tuto záplatu a další souvislosti popisuje Microsoft Security Bulletin MS06-071.

Odkazy ke stažení (sice nejsou v češtině, ale MSXML je jazykově neutrální):

• Microsoft XML Core Services 4.0 (KB927978): všechny podporované verze Windows
• Microsoft XML Core Services 6.0 (KB927977) pro podporované verze Windows: x86, x64 a IA-64

Souhrnné CD s listopadovými záplatami pro Windows

Update 22.11. Microsoft si tentokráte dal s listopadovými ISO image soubory „načas“, objevily se až 20. listopadu. Jsou celkem tři. První obsahuje záplaty pro Windows 2000, druhý pro Windows Server 2003 a třetí pro Windows XP a eventuelně Windows Vista, což se týká především díry v MSXML Core Services, která je nezávislá na operačním systému.

Odkazy ke stažení:

• Windows-KB913086-200611-1.iso
• Windows-KB913086-200611-2.iso
• Windows-KB913086-200611-3.iso

Nástroj na odstranění škodlivého softwaru

Listopad tento nástroj rozšíří pouze o jeden kousek s názvem Win32/Brontok. Vsadím boty, že stovky se letos nedočkáme, aktuální verze nástroje na odstranění škodlivého softwaru zná 92 druhů badwaru, který je schopna odstranit. A tak pilní záškodníci nejsou, aby do 12. prosince, kdy bude letos poslední „MS Patch Festival Day“ (jak je každé druhé úterý v měsíci nazýváno některými zahraničními weby), stihli nadělat osm kousků neřádstva.

Možná by se slušelo po čase připomenout, že nástroj na odstranění škodlivého softwaru lze nastavit tak, aby prohledával buďto jen známá umístění, vybranou složku, nebo také kompletně celý počítač. Pokud si necháte prohledávat celý počítač, počítejte s tím, že to může trvat dost dlouho, protože nástroj prohledává také archivy včetně mnoha známých instalaček a nevynechává pro jistotu ani obrázky a další typy souborů – zkrátka důkladně prolustruje všechny soubory na všech discích. Je to takový „jednodušší Antivir On-Demand“, Microsoft nicméně dodává, že nejde o antivir a pro lepší ochranu počítače byste měli používat opravdový antivirový produkt od nějaké další firmy.

• Nástroj na odstranění škodlivého softwaru: listopad 2006 (verze 1.22)