Microsoft исправляет ошибки безопасности в продуктах

Microsoft исправила ошибки в своих программах Exchange, SQL Server и Windows, которые могут дать хакерам новые способы взломать компьютеры.

Компания выпустила четыре набора патчей во вторник, все оценили как «важные». Они обращаются к девяти ошибкам в продуктах Microsoft.

Хотя Microsoft не оценила ни один из своих патчей как критически важный, они все равно оставят на месте корпоративных системных администраторов, сказал Эндрю Стормс, директор по операциям безопасности с поставщиком безопасности nCircle. «Мало того, что администраторы ИТ имеют свои руки в полной мере с обычными обновлениями на стороне клиента, но им также нужно заплатить два из самых важных корпоративных сервисов в организации - электронную почту и базы данных», - сказал он через мгновенное сообщение.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Эксперты по безопасности говорят, что ошибка DNS (DNS-системы) вызывает особую тревогу. Это связано с тем, что ошибка вызвана ошибкой дизайна в протоколе DNS, который затрагивает все DNS-серверы в Интернете.

Отправляя определенные типы запросов на DNS-серверы, злоумышленник может затем перенаправить жертвы с законного веб-сайта - скажем, Bofa.com - на вредоносный веб-сайт без того, чтобы жертва осознала это. Этот тип атаки, известный как отравление кэша DNS, не влияет только на Интернет. Он может использоваться для перенаправления всего интернет-трафика на серверы хакера.

Ошибка может быть использована «как фишинг-атака без отправки вам электронной почты», - сказал Вольфганг Кандек, главный технический директор Qualys.

Другой DNS поставщики программного обеспечения, включая Консорциум программного обеспечения для Интернета, Cisco и Sun Microsystems, также исправляют эту уязвимость.

Хотя этот недостаток влияет на некоторые домашние маршрутизаторы и клиентское DNS-программное обеспечение, это в основном проблема для корпоративных пользователей и интернет-провайдеров (провайдеров интернет-услуг) которые запускают DNS-серверы, используемые ПК, чтобы найти свой путь в Интернете, сказал Дэн Камински, исследователь IOActive по безопасности, который обнаружил проблему. «Домашние пользователи не должны паниковать, - сказал он во время телефонной конференции во вторник.

Одна из ошибок, которые Microsoft исправила во вторник, ранее была раскрыта, что делает ее приоритетной задачей. Этот недостаток, который лежит в версии Windows Explorer, используемой Vista и Windows Server 2008, может дать преступникам возможность запуска несанкционированного программного обеспечения на ПК с ОС Windows. Для этого злоумышленник должен сначала убедить пользователя открыть и сохранить специально созданный файл сохраненного файла с помощью проводника Windows.

Магазины Exchange, которые читают электронную почту через Интернет, должны дать патчу Exchange приоритет, Сказал Кандек. Это связано с тем, что он может быть использован для атаки пользователей Outlook Web Access (OWA) для Microsoft Exchange Server с помощью атаки с несколькими скриптами. Посылая злонамеренно закодированные электронные письма пользователям OWA, злоумышленники могли теоретически украсть учетные данные электронной почты и установить вредоносное программное обеспечение в системе жертвы, сказал он.

Наконец, исправление SQL Server исправляет четыре ошибки, которые затрагивают все поддерживаемые версии SQL Сервер.