9:06
13/4/2011

Wczorajszy wtorek, to w nomenklaturze Microsoftu tzw. Patch Tuesday. Microsoft wydał wczoraj 17 biuletynów bezpieczeństwa, które usuwają 64 podatności, m.in. w Internet Explorerze, SMB, Office, .NET Frameworku i Visual Studio. 9 z biuletynów otrzymało najwyższe oceny (“critical”) pozostałe 8 zostało ocenionych jako ważne (“important”).

Zacznijmy od linku do biuletynów i tabeli przedstawiającej poprawki w sugerowanej przez Microsoft kolejności aplikowania:

Bulletin Deployment Priority

Bulletin Deployment Priority, rys. Microsoft

Niektóre z błędów:

  • Zbiorcza aktualizacja dla Internet Explorer
    Aktualizacja dotyczy IE 6,7,8 i jednego z trzech błędów, które zostały ujawnione podczas konkursu Pwn2Own na konferencji CanSecWest 2011 w zeszłym miesiącu. IE 9 nie zostało dotknięte przez te podatności. Atakujący musi zmusić ofiarę do otworzenia odpowiednio przygotowanej strony WWW. Ataki w sieci już korzystają z exploita na tę podatność.
    Microsoft na swoim blogu wyjaśnił kiedy załata pozostałe 2 błędy i dlaczego nie zrobił tego teraz.
  • Aktualizacja klienta SMB
    Aby wykorzystać tę podatność atakujący musi przekonać użytkownika do nawiązania połączenia SMB do swojego, odpowiednio przygotowanego serwera.
  • Aktualizacja serwera SMB
    Atakujący przesyłając odpowiednio zmodyfikowany pakiet może przejąć kontrolę nad serwerem. O szczegółach obu biuletynów związanych z SMB można przeczytać na blogu Security Research & Defense.
  • Błędy w win32k subsystem
    Ten biuletyn dotyczy 30 podatności. Microsoft wyjaśnia, że tak naprawdę wszystkie 30 błędów ma swoje podłoże w 3 głównych przyczynach, dodając dlaczego przyznano im ocenę “important” — podatności nie mogą zostać wykorzystane zdalnie.

Ocena ryzyka

Ocenę ryzyka wszystkich podatności możecie znaleźć zarówno na blogu Microsoftu (wraz z przydatnymi komentarzami) jak i na stronach SANS.

Severity and Exploitability Index

Severity and Exploitability Index, rys. Microsoft

Dodatkowe narzędzia

Microsoft udostępnił także dwa narzędzia, które mają pomóc w walce z atakami: Office File Validation, czyli znany z Office 2010 walidator, tym razem dla starszych wersji Office oraz aktualizację winload.exe, która blokuje rootkitom stosowane dotychczas obejście mechanizmu weryfikującego podpis sterownika.

Przyjemnego patchowania!

Przeczytaj także:



17 komentarzy

Dodaj komentarz
  1. Przyjmenego? Urwał nać! Aktualizacja .NET rozwaliła mi start systemu. Dwie godziny zmarnowałem na grzebanie i szukanie przyczyny.

    • @Jurgi
      Odpowiedź M$: Oj tam, oj tam… ;-)

      Najwazniejsze, że znalazłeś przyczynę! Może się podzielisz, aby inni nie wdepnęli w to samo g…?

  2. Prosta sprawa, zmień system na lepszy… :)

    • …dajmy sobie spokój? Proszę? Czytanie po raz milionowy jaki to win jest be a linux wręcz przeciwnie na pewno nikogo nie przekona (a nawet mnie zaczyna irytować).

      Kim jestem? Linuksowcem, który w domu korzysta z Win 7, a na kompie ,,do klepania z Fedory. Bo tak jest mi wygodniej. Bo jak potrzebuję *NIX-a to odpalam VM. Bo jak potrzebuję zagrać w Crysisa 2 to mam na czym. Bo total commander, bo foobar2000, bo blablabla. A gdy potrzebuję pisać, to korzystam z komputera który na to przeznaczyłem. OS jest narzędziem i *tylko* narzędziem.

      I ok, też wg mnie podejście ,,patch tuesday jest złe (natychmiastowe poprawki), Windows nie jest idealny, M$ ma różne dziwne odpały a .NET to szit gorszy niż platforma Javy… Ale jak ktoś wybierze daną platformę to (być może) ma ku temu powód. Uszanujmy to i – przede wszystkim – nie spamujmy.

      @Jurgi ech. Mi kiedyś aktualizacja zepsuła program do komunikacji z moim mp3 (Sony e-Walkman). Dopiero 3 tyg później naprawili. A ja straciłem pół dnia na reinstalacjach softu, sterowników, szukanie kabli zastępczych etc…

    • System po prostu spełnia swoje zadanie. Linux czy Windows. Bolid F1 czy czołg, nie są dla każdego. Choć ktoś mógł by się upierać, że czołgiem najbezpieczniej to wszyscy i tak pewnie będą jeździli zwykłymi samochodami.

  3. @kg – to, o czym piszesz, to – istotnie – czesto fanboyizm, jednak nie ulega watpliwosci, ze przewaga technologiczna jest … po stronie UNIXa, pomimo wszystkich jego idiosynkrazji.
    Ponadto, ktos moglby rzec, ze przywiazanie do TC, FB i innych app jest jedynie nawykiem, bo przeciez TC wyswietla nagscreeny, trza za niego placic, jest ociezaly, zas od FB duzo lepszy DeadBeef player … i moglby ci ow ktos zarzucic slaba znajomosc realiow uniksowych.

    W teorii …

    • TC ociezaly? LOL :D
      To chyba najlzejszy manager plikow ever, pod Linuxem tylko MC go bije, ale MC bardzo duzo brakuje do TC. Jednak nic nie jest w stanie zastapic TC, probowalem wielu programow – najgorzej z zamiennikiem jest na Makach (jest kilka ‘w miare’, ale funkcjonalnosci wszystkich nie implementuja), aczkolwiek pod Linuxem tez za duzo wyboru nie ma. Mowie tu o okienkowych programach, nie tych pracujacych w konsoli.
      Co do DeaDBeeF – wyglada ciekawie, ale watpie, zeby implementowalo wszystko to, co foobar2000 i bylo tak stabilne jak on (zwazajac chocby na to, ile lat ma fb2k a ile ten program). Ale nie bede ocenial dopoki nie przetestuje sam.

  4. @Heinrich
    no dziwne, zeby nie byla, za to po stronie windy przewaga w obsludze, co juz moim zdaniem, dziwi
    czy te, o jakze wielkie i technologiczne umysly nie sa w stanie stworzyc prostych rozwiazan? ja np marze o systemie z mozliwosciami unixow i obsluga windowsowa
    ale to sa marzenia scietej glowy

    • Linux w swojej jak wiemy 20 letniej historii zrobił większy postęp niż Windows (myślę choćby o Ubuntu) ktoś pamięta dystrybucje Linuxa 10-15 lat temu? po instalacji systemu trzeba było resztę ręcznie konfigurować, nowe kernele samemu kompilować, grzebać w *.h a teraz… mamy jak wspomniałem w przykładzie dystrybucję która wychodzi na przeciw zwykłemu user’owi a to że administracja unixa/linuxa dla szarego przysłowiowego Kowalskiego to czarna magia to nie dziwmy się że Windows ma przewagę, w prostocie użytkowania – tylko!?
      A marzyć jak najbardziej trzeba ;)

  5. @Nukemiak – naprawde nie rozumiem tej linuksowej mitologii. Uzywam i uzywalem bardzo wielu systemow komercyjnych i niekomercyjnych, ze zdziwieniem wiec reaguje na te zdeaktualizowane komentarze dotyczace rzekomo trudnej obslugi systemow uniksowych, a w szczegolnosci Linuksa biurkowego, ktory jest dzis znacznie prostszy w obsludze, niz Windows, czy MacOSX [choc moze nie prostszy od powlok graficznych tabletow, zgoda. Jednak te bija na glowe wszystko].
    Dowodow na ten fakt mam wokol siebie mnostwo: 70-letnie babcie, matki, pracownicy biurowi, znajomi uzywajacy linuksa. Dzialaja, sa zadowoleni, odnajduja sie w tym srodowisku bez problemu.
    Jesli ktos mowi zatem, ze systemy Linuksowe sa trudniejsze w obsludze od Windows, czy MacOSX, to prawdopodobnie nie mial z nimi juz dlugi czas stycznosci, lub jest wiezniem nawykow i posiada stosunkowo malo elastyczna osobowosc, gdyz zaklada, ze prawdziwa wygoda lezy po stronie produktow Microsoftu nie wiedzac nawet jak bardzo sie myli. Domyslam sie jednak, ze w przypadku tak nieelastycznych osobowosci przykucie do systemu operacyjnego nie jest najwiekszym problemem.
    Generalnie mechanizm ten i cala ta mitologia jest zabawna, bo rownie dobrze uzytkownik linuksa, *BSD [tak, ten system moze byc nieintuicyjny GRAFICZNIE, jednak jest intuicyjny w KONFIGURACJI], czy dowolnego systemu moglby posluzyc sie tym pseudoargumentem w stosunku do Windowsa zarzucajac, ze interfejs win95 i ta przekleta linia komend DOS jest czyms nie do ogarniecia!, podczas gdy kazdy, kto uzywal kilku systemow operacyjnych w ostatnim czasie wie, ze to nieprawda [choc interfejs Windows 7 faktycznie jest malo intuicyjny i zagmatwany, w szczegolnosci konfiguracja Panelu Sterowania].

  6. NIe ośmieszajcie się z tą przewagą technologiczną Linuksa.
    Jeden z przykładów tej przewagi – przestarzały serwer X, ktory uniemozliwia stworzenie sterownikow dla technologii OPTIMUS.

  7. @fg:
    jakby przy takim update np .NET, rozjechało Ci się prawie 200 stanowisk (konkretnie 2 aplikacje na każdym) to byś nie pisał takich pierdół.

    Kim jestem? Linuksowcem, który w domu korzysta z Win 7, a na kompie ,,do klepania z Fedory. – dzięki oksymoronowi złożonemu, który zawarłeś w odpowiedzi na swoje pytanie, owa odpowiedź zmienia swój charakter z (myląco) jednoznacznej na skwantowaną, co w Twoim przypadku daje 100% pewność kim NIE JESTEŚ!. 12 rok na workstacji W DOMU stoi u mnie Linux, windowsy tylko w pracy widze w serwerowni albo u userów. no i w wyjątkowych sytuacjach odpalam VM żeby looknac dlaczego coś znowu przestało działać w zajebistym środowisku m$.
    nazywając się linuksowcem powodujesz, że takie fakty jak: miłość=prawda, pokój jest drogą, przestają mieć znaczenie w obliczu checi (potrzeby) przy***ania Ci.
    To żart oczywiście :)) ale ogarnij troche rzeczywistość, w której funkcjonujesz zanim wypierdzisz z siebie następny pozbawiony sensu i składu komentarz.

    Btw, żeby grać w crysisa czy co tam chyba nie musisz mieć windowsa. W sensie ja jako linuksowiec widze inne rozwiązanie. A ty?

    Zgadzam się ze stwierdzeniem, że OS jest tylko narzędziem, jednak spróbuj spojrzeć na linuksa i windowsa jak na narzędzia …. ideologiczno/buissinesowe. Bo z Twojej wypowiedzi wynika, że Ty jako fachowiec (zakładam, że jak coś piszesz to chyba coś wiesz) zrównujesz oba systemy do poziomu technicznego, gdzie zestawienie ich wad i zalet, wzajemnie się równoważy (co i tak wg mnie jest bzdurą).

    Gdyby Linux nie powstał lata temu pewnie byśmy mieli przeglądarki internetowe, które by banowały twoje adresy MAC na wszystkich urządzeniach w około, przy próbie wizyty na stronie porno albo z torrentami (śmieszne? patrz co sony w ps3 wyprawia).

    Na koniec:
    Z windowsem jest jak z telewizja. Wiekszośc bezmyślnie używa/korzysta przyswajając każdą informacje z ekranu,akceptuje podświadomie(bez pokusy poczytania na temat warunków na jakich to się odbywa) większość pseudotreści, bo ogólnie jest to rozwiązanie powszechne i wygodne. Wygodne czyli łatwe,a jak jest łatwo to jest nudno a nuda oznacza marazm…

    mimo agresywnego nastawienia,szerze pozdrawiam :)

  8. Co do rozwiniętej dyskusji – uważam, że wiele przekonań odnośnie Linuksa i Windowsa po prostu się utarło i ciężko będzie je wyplenić z podświadomości społeczeństwa.. – przykład? Zacząłem czytać ten artykuł i trafiłem na to zdanie: Microsoft wydał wczoraj 17 biuletynów bezpieczeństwa, które usuwają 64 podatności, m.in. w Internet Explorerze [..]. Zamiast w Internet Explorerze, przeczytałem Internet w Explorerze – bardzo wymowna różnica, prawda?

    Moje zdanie jest takie, że Windows jest względnie przyjazny, tak jak i Linux – wszystko zależy od tego, kto przy nim usiądzie. Osobiście uważam, że Windows ogranicza usera, a Linux daje dużo wolności..

    greets

  9. to jak juz sobie jezdzimy tak po sobie nawzajem to sie dozuce troche :P
    Linuks = Windows = narzedzie do pracy, czyli w zaleznosci od tego do czego jest potrzebne to uzywamy dopowiednie narzedzie
    przestancie sie bawic w fanboizm bo to jest absurd jakich wiele w necie
    fakt i jeden i drugi maja duze braki w tym czy innym sensie, ale… no i tu wlasnie zaczynaja sie schody..
    windows jest popularny nie dlatego ze byl wczesniej dostepny i bardziej rozbudowany pod zwgledem graficznym, tylko po prostu jest juz przyjetym stadardem w srodowisku desktop, to ze jest user friendly to juz inna rzecz,dlaczego ? bo nie trzeba miec zadnej wiedzy komputerowej zeby go uzywac !!!! sproboj standardowego usera z zachodnich krajow zmusic do nauki obslugi komputera, to sie popatrzy na ciebie jaK NA IDIOTE !
    i nie przemawia do mnie argument ze jest fanboiem albo inne bzdury, uzywam bo sie nie musze martwic czy moja konfiguracja jest odpowiednia i kompatybilna z kims innym, tu jest potega i prostota windowsa, wlanczasz i dziala, sproboj dac linuksa czlowiekowi bez wiedzy komputerowej linuksa, aha i nie zapomnij mu dac swojego numeru telefonu, po tygodniu z mila checia zainstalujesz mu winde sam z siebie,
    i tak uzywam i testuje rozne linuksy i inne rzeczy bo na tym polega moja praca i tym sie zajmuje, Ubuntu jest proste tylkow teori, juz bym raczej zainstalowal komus fedore lub Mandrive juz nie mowiac o debianie, przynajmniej kompatybilnosc byla by wieksza i support do wiekszosci paczek

  10. @Heinrich
    ja nie jestem zadnym fanbojem windy i ich rozwiazan, tylko stwierdzam fakt poparty popularnoscia systemow, klient sam wybiera co chce uzywac, lubia winde i beda szukac tego systemu dla swoich komputerow, tak samo nie zgadzam sie z twoim stwierdzeniem, ze interfejs 7 jest malo intuicyjny
    zgadzam sie z deckerem, ma racje, gdyby nie linux to microsoft by oszalal, ciesze sie, ze jest linux bo to hamuje glupote panow z MS

  11. Widzę, że “kg” pociągnął temat… Nie pisałem o Linuksie, napisałem, że trzeba sobie wybrać taki system, który będzie najlepszy dla danego użytkownika. Skoro chcesz mieć wszystko podane na tacy i nie obchodzi cię to, jak Twój system pracuje to kupujesz Windows. A jeśli masz w sobie trochę z odkrywcy i czujesz się na siłach kontrolować swój system sam, to wybierasz otwarte oprogramowanie. Tak na marginesie, to prawdą jest, że 90% “użytkowników” Linuksa nie ma o tym systemie bladego pojęcia, jedynie co potrafią robić, to kłócić się na forach i wystawiać dziwaczne komentarze jaki to jest boski system. Ja osobiście używam i tego i tego, bo do jednych rzeczy niezastąpiony jest Windows, a do drugich Linux. Poza tym, nie zakładajmy sobie klapek na oczy używając tylko jednego systemu, bo nie sztuką jest być pseudo-linuksiarzem i krzyczeć na forum, sztuką jest mieć kontrolę nad każdym systemem i wykorzystywać je tak, aby ułatwić sobie życie :-)

  12. Zaktualizowana przez MS11-025 biblioteka mfc90u.dll odwołuje się do importu FindActCtxSectionStringW z kernel32.dll, który nie istnieje w Windows 2000.
    Efekt: biblioteka mfc90u.dll przestaje działać pod Windows 2000. Jak wiadomo Windows 2000 nie jest już wspierany, lecz wobec tego aktualizacja ta nie powinna być oferowana dla Windows 2000, skoro w nim nie działa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: