Veszélyes hibákat javított a Microsoft

A Microsoft a múlt héten kiadott előzetes biztonsági tájékoztatójában már jelezte, hogy április ismét egy fontos hónap lesz a hibajavítások szempontjából. Ez így is lett, hiszen a cég összesen nyolc biztonsági közleményt adott ki, amelyek közül öt kritikus, míg három fontos veszélyességi besorolást kapott. Számos javításra került sebezhetőség jogosulatlan távoli kódfuttatásra valamint az érintett rendszerek feletti irányítás átvételére ad lehetőséget. A közleményekből kiderül, hogy ebben a hónapban elsősorban a Windows operációs rendszerek, az Office szoftvercsomagokhoz tartozó alkalmazások valamint az Internet Explorer foltozgatására került sor.

Fontos megemlíteni, hogy elérhetővé válták olyan hibajavítások is, amelyeket már a Windows Server 2008 operációs rendszerekre is szükséges feltelepíteni.

A Microsoft áprilisi biztonsági közleményei az alábbiak:

MS08-018
A Microsoft ebben a tájékoztatójában az Office Project szoftver egy kritikus veszélyességű sebezhetőségére hívta fel a figyelmet. A cég szerint az alkalmazás, olyan hibát tartalmaz, amely speciálisan szerkesztett Project állományok révén használható ki, és kártékony kódok jogosulatlan távoli futtatásához járulhat hozzá. A memóriakezelési hibákra visszavezethető sérülékenység a Project 2000 SR1, a Project 2002 SP1 valamint a Project 2003 SP2 alkalmazásokat érinti.

MS08-019
A fontos veszélyességi besorolású közlemény az Office Visio alkalmazás két biztonsági réséről számol be. Ezek egyikét memóriakezelési problémák, míg a másikat ellenőrzési hiányosságok okozzák. A hibák egy része akkor jelentkezhet, ha a felhasználó speciálisan szerkesztett .DXF kiterjesztésű állományokat akar betölteni. Ekkor ugyanis kártékony kódok is lefuttathatóvá válhatnak. A Microsoft szerint a sérülékenységek az Office XP, az Office 2003 valamint az Office 2007 esetében okozhatnak problémákat.

MS08-020
A szintén fontos besorolású közlemény a Windows operációs rendszerek DNS Client szolgáltatását érinti. Egy hiba miatt a támadók olyan speciális DNS kéréseket küldhetnek az érintett rendszerek felé, amelyek révén különböző átirányításokat végezhetnek a hálózati adatforgalomban. Ezzel akár meghamisított internetes tartalmakat is képesek lehetnek megjeleníteni a böngészőkben. A sebezhetőség a Windows 2000, a Windows XP, a Windows Server 2003 valamint a Windows Vista operációs rendszerek esetében is megtalálható.

MS08-021
A Microsoft ebben a tájékoztatójában két olyan kritikus biztonsági hibáról adott tájékoztatást, amelyek mindegyike a GDI-t (Graphics Device Interface) érinti. A sérülékenységek azért jelentenek különösen nagy kockázatot, mert olyan népszerű fájlformátumok révén használhatók ki, mint amilyen az EMF vagy a WMF. A támadók ilyen fájlok felhasználásával egyes esetekben átvehetik az érintett rendszerek feletti irányítást. A sebezhetőségek a Windows 2000, a Windows XP, a Windows Server 2003, a Windows Server 2008 valamint a Windows Vista operációs rendszereket is érintik.

MS08-022
A VBScript és JScript feldolgozó rendszerösszetevők kritikus veszélyességű sebezhetőségei szintén kártékony kódok jogosulatlan futtatásához vezethetnek. A sebezhetőségek különösen akkor jelentenek komoly kockázatot, ha a felhasználó rendszergazdai jogosultságok mellett használja a számítógépét. A biztonsági hibák a Windows 2000, a Windows XP és a Windows Server 2003 operációs rendszerek kapcsán merültek fel.

MS08-023
Ebben a közleményben egy olyan ActiveX hiba ismertetése olvasható, amely a hxvz.dll állományban található. A sérülékenység kihasználásával a támadók átvehetik az érintett számítógépek feletti irányítást. Ehhez mindössze arra kell rávenniük a felhasználókat, hogy látogassanak meg egy olyan weboldalt, amely alkalmas a sérülékenység kihasználására. A hiba - különböző veszélyességi mértékben - tulajdonképpen az összes jelenleg támogatott Windows operációs rendszer esetében jelen van, így például a Windows Vista valamint a Windows Server 2008 is frissítésre szorul. A sérülékenység a legnagyobb kockázatot a Windows 2000/XP felhasználói számára jelenti.

MS08-024
A kritikus veszélyességi besorolású közlemény az Internet Explorer egyik legutóbbi sebezhetőségét szünteti meg. A hiba speciálisan összeállított weboldalak megtekintésekor okozhat problémákat.  Az általa jelentett kockázatok nagysága nagymértékben függ attól, hogy a felhasználó milyen jogosultsági szint mellett használja a számítógépét. A Microsoft szerint a sérülékenységet az Internet Explorer 5.01, az Internet Explorer 6 valamint az Internet Explorer 7 is tartalmazza.

MS08-025
A Microsoft az utolsó áprilisi közleményét fontos veszélyességűnek ítélte meg. A tájékoztató szerint a Windows kernel egy olyan sebezhetőséget tartalmaz, amelynek révén a támadók különböző jogosultságokhoz juthatnak, és kártékony műveleteket végezhetnek a kiszemelt rendszereken. A sérülékenység távolról nem használható ki, vagyis a támadónak helyileg be kell jelentkeznie az operációs rendszerbe, mielőtt elkezdené a tevékenységét. A biztonsági hiba a Windows 2000, a Windows XP, a Windows Server 2003, a Windows Vista és a Windows Server 2008 esetében is problémákat okozhat.

A Microsoft áprilisi hibajavításai a cég weboldaláról tölthetők le, vagy az automatikus frissítési szolgáltatások segítségével telepíthetők.