Díra ve zpracování URI umožňuje vzdálené spuštění kódu

Po světě již útočníci aktivně zneužívají novou díru, která je dílem nešťastné shody okolností. Systémový soubor Shell32.dll z Windows XP a Windows Serveru 2003 (32bitových i x64 verzí) lze v kombinaci s nainstalovaným Internet Explorerem 7 zneužít ke spuštění kódu útočníka na uživatelově počítači (v rámci možností jeho práv) skrze speciálně upravený URI (něco podobného, co kdysi záplatovaly aktualizace prohlížeče Firefox). Problémem nejsou postiženy Windows 2000 a ani Windows Vista, přestože tento systém obsahuje Internet Explorer 7 (jeho Shell32.dll je totiž vůči této zranitelnosti imunní). Záplata tedy preventivně opravuje právě Shell32.dll, takže je celkem jedno, jaký máte ve Windows XP či Windows Serveru 2003 Internet Explorer, oprava se na Windows Update ukáže každopádně, a to i přesto, že v Microsoftu neznají způsob, jak tuto díru zneužít v kombinaci s Internet Explorerem 6. Více detailů se můžete dočíst v Microsoft Security Bulletin MS07-061, dodejme ještě, že záplata nahrazuje jednu starší, kterou popisuje loňský srpnový Security Bulletin MS06-045.

Odkazy ke stažení (KB943460):

• Windows XP SP2: české a anglické
• Windows Server 2003 SP1 a SP2: český a anglický
• Windows XP x64 a Windows Server 2003 x64 bez a se SP2: anglické
• Windows Server 2003 IA-64 SP1 a SP2: anglický

Díra v DNS serveru umožňuje falšování informací

Nyní by měli naopak zbystřit správci Windows Serverů. Jak ve Windows 2000 Serveru, tak Windows Serveru 2003 existuje jistá možnost, kdy útočník získá informace o ID transakcí DNS serveru a šikovně je využije k falešným odezvám zpět na server. Následkem toho může být DNS server přesvědčen, že dané doménové jméno patří ve skutečnosti jinému serveru – útočník to pak může zneužít v situaci, kdy si uživatel takto napadeného serveru chce prohlížet stránky na nějakém serveru např. zadáním doménového jména do prohlížeče, zatímco se komunikace přesměruje na úplně jiný server (třeba ten útočníkův, kde může být podvržený obsah). Tato záplata také nahrazuje jednu starší, konkrétně květnovou, kterou popisuje Security Bulletin MS07-029 (také se týkala DNS serveru), o té dnešní si pak můžete přečíst v Microsoft Security Bulletin MS07-062.

Odkazy ke stažení (KB941672):

• Windows 2000 SP4: české a anglické
• Windows Server 2003 SP1 a SP2: český a anglický
• Windows Server 2003 x64 bez a se SP2: anglický
• Windows Server 2003 IA-64 SP1 a SP2: anglický

Nástroj na odstranění škodlivého softwaru

Nástroj na odstranění škodlivého softwaru jakoby si dal na konci loňského roku předsevzetí, že každý měsíc přidá na svou pažbu nejvýše jeden zářez. Toto pravidlo se mu zatím podařilo porušit jen v lednu, v únoru a srpnu, kdy v prvních dvou jmenovaných měsících udělal pokaždé zářezy dva a v srpnu dokonce tři. V ostatních osmi měsících je to opravdu po jednom, tedy v listopadu také. Aktuálně jeho počitadlo ukazuje číslovku 108, když na svůj seznam odstranitelné havěti přidává Win32/ConHook, což je trojský kůň a virus v jednom, neboť svůj kód vkládá do souborů explorer.exe a winlogon.exe, za chodu se pak snaží dostat na jistou IP adresu a stáhnout a nainstalovat další škodlivý kód. Preventivně pak odstavuje některé bezpečnostní aplikace (shazuje procesy pod názvy souborů AD-AWARE.EXE a GCASSERVALERT.EXE).

• Nástroj na odstranění škodlivého softwaru: listopad 2007 (verze 1.35)