Ошибки и исправления: редкое аварийное исправление от Microsoft

В прошлом месяце Microsoft, возможно, чувствовала себя маленьким голландским мальчиком, забирая дыры с регулярными исправлениями и с редкими исправлениями вне цикла попытка предотвратить проникновение злоумышленников.

Патч вне цикла, критический для всех версий Internet Explorer 2000, XP и Vista, обращается к обработке IE ошибочных элементов управления ActiveX, созданных с помощью библиотеки Microsoft Active Template Library (ATL), инструмент разработчика, включенный в Visual Studio. На ПК с повышенным риском может пострадать атака на диске. Эта серьезная уязвимость затрагивает многие элементы управления ActiveX. Например, Adobe подтвердила на своем сайте безопасности, что его Shockwave и Flash Player ActiveX контролируют «использование уязвимых версий ATL» и что он работает над исправлением. Эта проблема также влияет на IE в Windows Server 2003 и 2008, но оценивается на уровне ОС как очень серьезная.

Исправления нулевого дня

В очередной раз выпуске Microsoft исправления во вторник вышел целый ряд других дыр, в том числе недостаток нулевого дня, который были подвергнуты атаке и были задействованы элементы управления ActiveX, используемые Microsoft Video. Хотя патч отключил элемент управления, который не оправдал законных целей, он не исправил основной недостаток. Исправление, критическое для Windows XP и умеренное для Windows Server 2003, не влияет на Windows 2000, Vista или Server 2008.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Второе исправление остановлено атаки на обработку содержимого QuickTime Microsoft DirectShow. Атаки, которые не зависят от установки QuickTime от Apple, могут запускаться, если жертва открыла или просмотрела отравленный файл QuickTime. DirectX 7, 8.1 и 9.0 в Windows 2000 нуждаются в исправлении, как и DirectX 9.0 на XP и Server 2003. Vista и Server 2008 получают пропуск.

Другие критические исправления направлены на то, как все поддерживаемые версии Windows обрабатывают шрифты в Веб-страницы, электронная почта и документы Office. Недостатки во встроенном OpenType Font Engine не были атакованы до выпуска исправления, но они являются doozies.

Серьезный недостаток веб-компонентов Microsoft Office связан с проблемой ActiveX, которая позволяет атаковать пользователей IE. Широкий спектр компонентов и версий Office нуждается в исправлении; для полного списка затронутого программного обеспечения см. связанную страницу Microsoft.

Вы можете получить все вышеупомянутые исправления с помощью Центра обновления Windows.

Патчи Adobe и Firefox

Microsoft не была единственной, кто страдал от нуля - дневная угроза за последний месяц. Adobe, еще одна популярная цель, выпустила исправления для Flash (на всех платформах), а также для Reader, Air и Acrobat после сообщений об атаках, которые использовали отравленные PDF-файлы для использования недостатков Flash. Чтобы защитить от этих многопользовательских атак, обязательно обновите все свои приложения Adobe. Захватите Flash версию 10.0.32.18 и последнюю версию Air на сайте Adobe. Для Reader обновите до версии 9.1.3, открыв программу и выбрав Инструменты, Проверить наличие обновлений. См. Бюллетень по безопасности Adobe для ссылок на обновления Acrobat для Mac и Windows, а также более подробную информацию.

Чтобы обернуть ваши обязательные объекты, пользователи Firefox должны обновиться до последней доступной версии, чтобы применить несколько исправлений для различных отверстий в версиях 3 и 3.5, в том числе серьезный недостаток обработки JavaScript в формате 3.5, а также проблема, связанная с использованием SSL-сертификатов Firefox 3 для шифрования безопасных веб-соединений (3.5 уже был в безопасности от этого недостатка). Нажмите Справка, Проверить наличие обновлений, чтобы подтвердить, что у вас установлена ​​последняя версия. И если вы все еще на третьей версии, посетите сайт Firefox, чтобы загрузить 3.5; это относительно безболезненное обновление.