Microsoft исправляет критический недостаток MP3

Сегодняшние исправления во вторник от Microsoft включает шесть критических бюллетеней, которые предотвращают потенциальные атаки, связанные с отравленными медиафайлами и веб-страницами, а также беспроводные и TCP / IP-дыры в безопасности. Недостаток FTP подпапки остается незафиксированным.

Два патча, MS09-045 и MS09-046, устраняют уязвимости, которые могут позволить атаковать код, скрытый на веб-странице, для запуска любой команды на уязвимом компьютере. Первый поддерживает несколько версий JScript Scripting Engine и критичен для Windows 2000, XP, Server 2003, Vista и Server 2008 (за исключением Windows Server R2 для систем x64 и Itanium). Второй закрывает дыру в элементе управления ActiveX компонента редактирования DHTML и считается критическим для Windows 2000 и XP и умерен для Windows Server 2003. Windows Vista и Server 2008 не подвержены влиянию недостатка ActiveX.

Третий бюллетень обращается к критическому отверстию в формате Windows Media, который может передать управление уязвимым ПК, если вы просматриваете отравленный.mp3,.wma или.wmv медиафайл, согласно Symantec. Патч MS09-047 имеет решающее значение для многочисленных комбинаций Windows Media Format Runtime или Windows Media Services в Windows 2000, XP, Server 2003, Vista и Server 2008. Бюллетень Microsoft перечисляет полный набор возможных комбинаций ОС и программного обеспечения, но Itanium- основанные на Windows Server 2003 с пакетом обновления 2 (SP2) или Server 2008, не являются уязвимыми.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В-четвертых, исправление потенциальных атак по сети с использованием вредоносных TCP / IP пакеты. Брандмауэр уменьшит риск, заблокировав пакеты TCP / IP из неизвестных источников Интернета. Бюллетень MS09-048 имеет решающее значение для систем Windows Vista и Server 2008, которые могут быть захвачены успешной атакой. Недостаток оценивается только для Windows Server 2003 и Windows 2000, поскольку атака на эти ОС, скорее всего, приведет к сбою. Тем не менее, для Windows 2000 не существует патча - Microsoft заявляет, что исправление потребует перезаписи больших частей ОС и «неосуществимо».

Последний критический патч исправляет проблему с службой Wireless Lan AutoConfig, которая может позволить специально созданный пакеты атаки, отправленные по беспроводному соединению, для захвата уязвимых машин Windows Vista и Server 2008. Другие версии Windows не затрагиваются, и любой компьютер без беспроводной карты, конечно же, безопасен. В бюллетене MS09-049 перечислены более подробные сведения.

Администраторы ИТ должны заметить, что ранее сообщаемое отверстие безопасности в компоненте FTP в Информационной службе Microsoft Internet Information не исправлялось в патч-пакетах этого месяца. Как сообщается, дыра находится под активной атакой, поэтому админы on-the-ball должны проверять список обходных решений в техническом сообщении Microsoft.