9:06
13/4/2011

Wczorajszy wtorek, to w nomenklaturze Microsoftu tzw. Patch Tuesday. Microsoft wydał wczoraj 17 biuletynów bezpieczeństwa, które usuwają 64 podatności, m.in. w Internet Explorerze, SMB, Office, .NET Frameworku i Visual Studio. 9 z biuletynów otrzymało najwyższe oceny (“critical”) pozostałe 8 zostało ocenionych jako ważne (“important”).

Zacznijmy od linku do biuletynów i tabeli przedstawiającej poprawki w sugerowanej przez Microsoft kolejności aplikowania:

Bulletin Deployment Priority

Bulletin Deployment Priority, rys. Microsoft

Niektóre z błędów:

  • Zbiorcza aktualizacja dla Internet Explorer
    Aktualizacja dotyczy IE 6,7,8 i jednego z trzech błędów, które zostały ujawnione podczas konkursu Pwn2Own na konferencji CanSecWest 2011 w zeszłym miesiącu. IE 9 nie zostało dotknięte przez te podatności. Atakujący musi zmusić ofiarę do otworzenia odpowiednio przygotowanej strony WWW. Ataki w sieci już korzystają z exploita na tę podatność.
    Microsoft na swoim blogu wyjaśnił kiedy załata pozostałe 2 błędy i dlaczego nie zrobił tego teraz.
  • Aktualizacja klienta SMB
    Aby wykorzystać tę podatność atakujący musi przekonać użytkownika do nawiązania połączenia SMB do swojego, odpowiednio przygotowanego serwera.
  • Aktualizacja serwera SMB
    Atakujący przesyłając odpowiednio zmodyfikowany pakiet może przejąć kontrolę nad serwerem. O szczegółach obu biuletynów związanych z SMB można przeczytać na blogu Security Research & Defense.
  • Błędy w win32k subsystem
    Ten biuletyn dotyczy 30 podatności. Microsoft wyjaśnia, że tak naprawdę wszystkie 30 błędów ma swoje podłoże w 3 głównych przyczynach, dodając dlaczego przyznano im ocenę “important” — podatności nie mogą zostać wykorzystane zdalnie.

Ocena ryzyka

Ocenę ryzyka wszystkich podatności możecie znaleźć zarówno na blogu Microsoftu (wraz z przydatnymi komentarzami) jak i na stronach SANS.

Severity and Exploitability Index

Severity and Exploitability Index, rys. Microsoft

Dodatkowe narzędzia

Microsoft udostępnił także dwa narzędzia, które mają pomóc w walce z atakami: Office File Validation, czyli znany z Office 2010 walidator, tym razem dla starszych wersji Office oraz aktualizację winload.exe, która blokuje rootkitom stosowane dotychczas obejście mechanizmu weryfikującego podpis sterownika.

Przyjemnego patchowania!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

17 komentarzy

Dodaj komentarz
  1. Przyjmenego? Urwał nać! Aktualizacja .NET rozwaliła mi start systemu. Dwie godziny zmarnowałem na grzebanie i szukanie przyczyny.

    • @Jurgi
      Odpowiedź M$: Oj tam, oj tam… ;-)

      Najwazniejsze, że znalazłeś przyczynę! Może się podzielisz, aby inni nie wdepnęli w to samo g…?

  2. Prosta sprawa, zmień system na lepszy… :)

    • …dajmy sobie spokój? Proszę? Czytanie po raz milionowy jaki to win jest be a linux wręcz przeciwnie na pewno nikogo nie przekona (a nawet mnie zaczyna irytować).

      Kim jestem? Linuksowcem, który w domu korzysta z Win 7, a na kompie ,,do klepania z Fedory. Bo tak jest mi wygodniej. Bo jak potrzebuję *NIX-a to odpalam VM. Bo jak potrzebuję zagrać w Crysisa 2 to mam na czym. Bo total commander, bo foobar2000, bo blablabla. A gdy potrzebuję pisać, to korzystam z komputera który na to przeznaczyłem. OS jest narzędziem i *tylko* narzędziem.

      I ok, też wg mnie podejście ,,patch tuesday jest złe (natychmiastowe poprawki), Windows nie jest idealny, M$ ma różne dziwne odpały a .NET to szit gorszy niż platforma Javy… Ale jak ktoś wybierze daną platformę to (być może) ma ku temu powód. Uszanujmy to i – przede wszystkim – nie spamujmy.

      @Jurgi ech. Mi kiedyś aktualizacja zepsuła program do komunikacji z moim mp3 (Sony e-Walkman). Dopiero 3 tyg później naprawili. A ja straciłem pół dnia na reinstalacjach softu, sterowników, szukanie kabli zastępczych etc…

    • System po prostu spełnia swoje zadanie. Linux czy Windows. Bolid F1 czy czołg, nie są dla każdego. Choć ktoś mógł by się upierać, że czołgiem najbezpieczniej to wszyscy i tak pewnie będą jeździli zwykłymi samochodami.

  3. @kg – to, o czym piszesz, to – istotnie – czesto fanboyizm, jednak nie ulega watpliwosci, ze przewaga technologiczna jest … po stronie UNIXa, pomimo wszystkich jego idiosynkrazji.
    Ponadto, ktos moglby rzec, ze przywiazanie do TC, FB i innych app jest jedynie nawykiem, bo przeciez TC wyswietla nagscreeny, trza za niego placic, jest ociezaly, zas od FB duzo lepszy DeadBeef player … i moglby ci ow ktos zarzucic slaba znajomosc realiow uniksowych.

    W teorii …

    • TC ociezaly? LOL :D
      To chyba najlzejszy manager plikow ever, pod Linuxem tylko MC go bije, ale MC bardzo duzo brakuje do TC. Jednak nic nie jest w stanie zastapic TC, probowalem wielu programow – najgorzej z zamiennikiem jest na Makach (jest kilka ‘w miare’, ale funkcjonalnosci wszystkich nie implementuja), aczkolwiek pod Linuxem tez za duzo wyboru nie ma. Mowie tu o okienkowych programach, nie tych pracujacych w konsoli.
      Co do DeaDBeeF – wyglada ciekawie, ale watpie, zeby implementowalo wszystko to, co foobar2000 i bylo tak stabilne jak on (zwazajac chocby na to, ile lat ma fb2k a ile ten program). Ale nie bede ocenial dopoki nie przetestuje sam.

  4. @Heinrich
    no dziwne, zeby nie byla, za to po stronie windy przewaga w obsludze, co juz moim zdaniem, dziwi
    czy te, o jakze wielkie i technologiczne umysly nie sa w stanie stworzyc prostych rozwiazan? ja np marze o systemie z mozliwosciami unixow i obsluga windowsowa
    ale to sa marzenia scietej glowy

    • Linux w swojej jak wiemy 20 letniej historii zrobił większy postęp niż Windows (myślę choćby o Ubuntu) ktoś pamięta dystrybucje Linuxa 10-15 lat temu? po instalacji systemu trzeba było resztę ręcznie konfigurować, nowe kernele samemu kompilować, grzebać w *.h a teraz… mamy jak wspomniałem w przykładzie dystrybucję która wychodzi na przeciw zwykłemu user’owi a to że administracja unixa/linuxa dla szarego przysłowiowego Kowalskiego to czarna magia to nie dziwmy się że Windows ma przewagę, w prostocie użytkowania – tylko!?
      A marzyć jak najbardziej trzeba ;)

  5. @Nukemiak – naprawde nie rozumiem tej linuksowej mitologii. Uzywam i uzywalem bardzo wielu systemow komercyjnych i niekomercyjnych, ze zdziwieniem wiec reaguje na te zdeaktualizowane komentarze dotyczace rzekomo trudnej obslugi systemow uniksowych, a w szczegolnosci Linuksa biurkowego, ktory jest dzis znacznie prostszy w obsludze, niz Windows, czy MacOSX [choc moze nie prostszy od powlok graficznych tabletow, zgoda. Jednak te bija na glowe wszystko].
    Dowodow na ten fakt mam wokol siebie mnostwo: 70-letnie babcie, matki, pracownicy biurowi, znajomi uzywajacy linuksa. Dzialaja, sa zadowoleni, odnajduja sie w tym srodowisku bez problemu.
    Jesli ktos mowi zatem, ze systemy Linuksowe sa trudniejsze w obsludze od Windows, czy MacOSX, to prawdopodobnie nie mial z nimi juz dlugi czas stycznosci, lub jest wiezniem nawykow i posiada stosunkowo malo elastyczna osobowosc, gdyz zaklada, ze prawdziwa wygoda lezy po stronie produktow Microsoftu nie wiedzac nawet jak bardzo sie myli. Domyslam sie jednak, ze w przypadku tak nieelastycznych osobowosci przykucie do systemu operacyjnego nie jest najwiekszym problemem.
    Generalnie mechanizm ten i cala ta mitologia jest zabawna, bo rownie dobrze uzytkownik linuksa, *BSD [tak, ten system moze byc nieintuicyjny GRAFICZNIE, jednak jest intuicyjny w KONFIGURACJI], czy dowolnego systemu moglby posluzyc sie tym pseudoargumentem w stosunku do Windowsa zarzucajac, ze interfejs win95 i ta przekleta linia komend DOS jest czyms nie do ogarniecia!, podczas gdy kazdy, kto uzywal kilku systemow operacyjnych w ostatnim czasie wie, ze to nieprawda [choc interfejs Windows 7 faktycznie jest malo intuicyjny i zagmatwany, w szczegolnosci konfiguracja Panelu Sterowania].

  6. NIe ośmieszajcie się z tą przewagą technologiczną Linuksa.
    Jeden z przykładów tej przewagi – przestarzały serwer X, ktory uniemozliwia stworzenie sterownikow dla technologii OPTIMUS.

  7. @fg:
    jakby przy takim update np .NET, rozjechało Ci się prawie 200 stanowisk (konkretnie 2 aplikacje na każdym) to byś nie pisał takich pierdół.

    Kim jestem? Linuksowcem, który w domu korzysta z Win 7, a na kompie ,,do klepania z Fedory. – dzięki oksymoronowi złożonemu, który zawarłeś w odpowiedzi na swoje pytanie, owa odpowiedź zmienia swój charakter z (myląco) jednoznacznej na skwantowaną, co w Twoim przypadku daje 100% pewność kim NIE JESTEŚ!. 12 rok na workstacji W DOMU stoi u mnie Linux, windowsy tylko w pracy widze w serwerowni albo u userów. no i w wyjątkowych sytuacjach odpalam VM żeby looknac dlaczego coś znowu przestało działać w zajebistym środowisku m$.
    nazywając się linuksowcem powodujesz, że takie fakty jak: miłość=prawda, pokój jest drogą, przestają mieć znaczenie w obliczu checi (potrzeby) przy***ania Ci.
    To żart oczywiście :)) ale ogarnij troche rzeczywistość, w której funkcjonujesz zanim wypierdzisz z siebie następny pozbawiony sensu i składu komentarz.

    Btw, żeby grać w crysisa czy co tam chyba nie musisz mieć windowsa. W sensie ja jako linuksowiec widze inne rozwiązanie. A ty?

    Zgadzam się ze stwierdzeniem, że OS jest tylko narzędziem, jednak spróbuj spojrzeć na linuksa i windowsa jak na narzędzia …. ideologiczno/buissinesowe. Bo z Twojej wypowiedzi wynika, że Ty jako fachowiec (zakładam, że jak coś piszesz to chyba coś wiesz) zrównujesz oba systemy do poziomu technicznego, gdzie zestawienie ich wad i zalet, wzajemnie się równoważy (co i tak wg mnie jest bzdurą).

    Gdyby Linux nie powstał lata temu pewnie byśmy mieli przeglądarki internetowe, które by banowały twoje adresy MAC na wszystkich urządzeniach w około, przy próbie wizyty na stronie porno albo z torrentami (śmieszne? patrz co sony w ps3 wyprawia).

    Na koniec:
    Z windowsem jest jak z telewizja. Wiekszośc bezmyślnie używa/korzysta przyswajając każdą informacje z ekranu,akceptuje podświadomie(bez pokusy poczytania na temat warunków na jakich to się odbywa) większość pseudotreści, bo ogólnie jest to rozwiązanie powszechne i wygodne. Wygodne czyli łatwe,a jak jest łatwo to jest nudno a nuda oznacza marazm…

    mimo agresywnego nastawienia,szerze pozdrawiam :)

  8. Co do rozwiniętej dyskusji – uważam, że wiele przekonań odnośnie Linuksa i Windowsa po prostu się utarło i ciężko będzie je wyplenić z podświadomości społeczeństwa.. – przykład? Zacząłem czytać ten artykuł i trafiłem na to zdanie: Microsoft wydał wczoraj 17 biuletynów bezpieczeństwa, które usuwają 64 podatności, m.in. w Internet Explorerze [..]. Zamiast w Internet Explorerze, przeczytałem Internet w Explorerze – bardzo wymowna różnica, prawda?

    Moje zdanie jest takie, że Windows jest względnie przyjazny, tak jak i Linux – wszystko zależy od tego, kto przy nim usiądzie. Osobiście uważam, że Windows ogranicza usera, a Linux daje dużo wolności..

    greets

  9. to jak juz sobie jezdzimy tak po sobie nawzajem to sie dozuce troche :P
    Linuks = Windows = narzedzie do pracy, czyli w zaleznosci od tego do czego jest potrzebne to uzywamy dopowiednie narzedzie
    przestancie sie bawic w fanboizm bo to jest absurd jakich wiele w necie
    fakt i jeden i drugi maja duze braki w tym czy innym sensie, ale… no i tu wlasnie zaczynaja sie schody..
    windows jest popularny nie dlatego ze byl wczesniej dostepny i bardziej rozbudowany pod zwgledem graficznym, tylko po prostu jest juz przyjetym stadardem w srodowisku desktop, to ze jest user friendly to juz inna rzecz,dlaczego ? bo nie trzeba miec zadnej wiedzy komputerowej zeby go uzywac !!!! sproboj standardowego usera z zachodnich krajow zmusic do nauki obslugi komputera, to sie popatrzy na ciebie jaK NA IDIOTE !
    i nie przemawia do mnie argument ze jest fanboiem albo inne bzdury, uzywam bo sie nie musze martwic czy moja konfiguracja jest odpowiednia i kompatybilna z kims innym, tu jest potega i prostota windowsa, wlanczasz i dziala, sproboj dac linuksa czlowiekowi bez wiedzy komputerowej linuksa, aha i nie zapomnij mu dac swojego numeru telefonu, po tygodniu z mila checia zainstalujesz mu winde sam z siebie,
    i tak uzywam i testuje rozne linuksy i inne rzeczy bo na tym polega moja praca i tym sie zajmuje, Ubuntu jest proste tylkow teori, juz bym raczej zainstalowal komus fedore lub Mandrive juz nie mowiac o debianie, przynajmniej kompatybilnosc byla by wieksza i support do wiekszosci paczek

  10. @Heinrich
    ja nie jestem zadnym fanbojem windy i ich rozwiazan, tylko stwierdzam fakt poparty popularnoscia systemow, klient sam wybiera co chce uzywac, lubia winde i beda szukac tego systemu dla swoich komputerow, tak samo nie zgadzam sie z twoim stwierdzeniem, ze interfejs 7 jest malo intuicyjny
    zgadzam sie z deckerem, ma racje, gdyby nie linux to microsoft by oszalal, ciesze sie, ze jest linux bo to hamuje glupote panow z MS

  11. Widzę, że “kg” pociągnął temat… Nie pisałem o Linuksie, napisałem, że trzeba sobie wybrać taki system, który będzie najlepszy dla danego użytkownika. Skoro chcesz mieć wszystko podane na tacy i nie obchodzi cię to, jak Twój system pracuje to kupujesz Windows. A jeśli masz w sobie trochę z odkrywcy i czujesz się na siłach kontrolować swój system sam, to wybierasz otwarte oprogramowanie. Tak na marginesie, to prawdą jest, że 90% “użytkowników” Linuksa nie ma o tym systemie bladego pojęcia, jedynie co potrafią robić, to kłócić się na forach i wystawiać dziwaczne komentarze jaki to jest boski system. Ja osobiście używam i tego i tego, bo do jednych rzeczy niezastąpiony jest Windows, a do drugich Linux. Poza tym, nie zakładajmy sobie klapek na oczy używając tylko jednego systemu, bo nie sztuką jest być pseudo-linuksiarzem i krzyczeć na forum, sztuką jest mieć kontrolę nad każdym systemem i wykorzystywać je tak, aby ułatwić sobie życie :-)

  12. Zaktualizowana przez MS11-025 biblioteka mfc90u.dll odwołuje się do importu FindActCtxSectionStringW z kernel32.dll, który nie istnieje w Windows 2000.
    Efekt: biblioteka mfc90u.dll przestaje działać pod Windows 2000. Jak wiadomo Windows 2000 nie jest już wspierany, lecz wobec tego aktualizacja ta nie powinna być oferowana dla Windows 2000, skoro w nim nie działa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: