Tři bezpečnostní opravy od Microsoftu
Microsoft vydal hned tři bezpečnostní opravy. První opravuje chybu ve Windows XP, kdy si lokální uživatel může zvýšit práva. Druhá je pak mnohem zajímavější, jde o kumulativní update pro Internet Explorer. A třetí je spíše preventivního rázu, protože pouští HTML help v novém, omezeném režimu a doplňuje kumulativní IE patch.
Kumulativní oprava pro Internet Explorer
Tuto záplatu by měl aplikovat každý, kdo používá Internet Explorer. Mimo to, že díky své kumulativnosti opravuje všechny bezpečnostní chyby dříve vydané, tak ještě opravuje dvě další. Obě dvě se týkají nesprávného nakládání s právami u více domén (tj. z jedné, která má nižší, se zavolá kód z druhé, která má vyšší práva, a ta první se dostane k těmto vyšším právům). Problémy tvoří volání dialogového okna a zobrazení HTML helpu. V nejhorším případě se díky těmto chybám může u vás pustit kód účastníka, nebo spustit již uložený soubor na disku. Záplatovat byste tedy měli ihned.
Jestli chcete ještě více detailů, tak je najdete v Microsoft Security Bulletinu MS03-004. Já vám standardně nabídnu přímé odkazy na stažení:
- Internet Explorer 6 SP1: český a anglický
- Internet Explorer 6 pro Windows XP: český a anglický
- Internet Explorer 5.5 SP2: český a anglický
- Internet Explorer 5.01 SP3 pro Windows 2000 SP3: český a anglický
HTML nápověda v omezeném režimu
Pokud si nainstalujete výše zmíněný kumulativní patch pro Internet Explorer a už nikoliv tento patch, pak vám přestane fungovat HTML nápověda (přesněji volání funkce window.showHelp() ). Chcete-li ji mít zase funkční, pak si musíte tento patch nainstalovat. Bohužel u Microsoftu jsem o něm nic nenašel, ale měly by se časem objevit informace v Knowledge Base na této adrese (odkaz je již funkční, v době psaní článku nebyl).
Pokud jde o patch samotný, tak Microsoft se nás snaží směřovat na Windows Update. Podařilo se mi najít pro vás přímé odkazy na tyto patche:
Přetečení bufferu ve Windows Redirectoru
Tato chyba postihuje jen majitele Windows XP a to nezávisle na tom, jestli mají či nemají Service Pack. Příčinou je klasická chyba ve Windows Redirectoru, která umožní útočníkovi si vykonat jakýkoliv kód na počítači se systémovými právy, ať už on sám má jakákoliv práva. Aby mohl takovéto chyby zneužít, musí být interaktivně přihlášen k systému. Windows Redirector se využívá například k tomu, aby jste se mohli dostat na síťové disky namapované na nějaké písmeno. Pokud potřebujete detailnější popis, najdete ho v Microsoft Security Bulletinu MS03-004. Já vám samozřejmě nabídnu přímo odkazy na patche:
Diskuse ke článku Tři bezpečnostní opravy od Microsoftu
