Microsoft opravil 20 chyb včetně jedné kritické ve Wordu

Tradiční úterní opravy jsou tentokrát určeny například produktům Word, Office, Windows, SharePoint Server nebo SQL Server. Opravy se dočkala i jedna kritická chyba v textovém editoru Word a jedna závažná chyba, která již byla použita při útoku na online služby Microsoftu.

Aktualizace Wordu se týká verzí 2003, 2007 a 2010 a prohlížeče Word Viewer, který lze použít k zobrazení a vytištění dokumentu i v počítači, kde není nainstalován editor Word. Stejná chyba se vyskytuje i v bezplatné službě Office Web Apps, která umožňuje pracovat se soubory různých formátů Office online. Tuto kritickou opravdu je třeba nainstalovat co možná nejdříve.

Tato chyba je nebezpečná i proto, že Word je používán při práci s e-maily v aplikaci Outlook 2007 nebo 2010 a je možné jej napadnout pomocí závadného dokumentu ve formátu RTF. „Word je nastaven jako editor pro Outlook, k nakažení počítače tedy stačí otevřít škodlivý dokument ve formátu RTF,“ vysvětlil Andrew Storms, ředitel bezpečnostních operací ve společnosti nCircle Security. Hackeři zneužívali náhledy dokumentů poměrně často, v poslední době ovšem tuto techniku příliš nepoužívají. „Dlouho už se žádný takový útok neobjevil, proto je zajímavé vidět, že se opět vrací,“ konstatoval Storms.

Ostatní opravy mají nižší stupeň závažnosti, ani s jejich nasazením však není dobré otálet. „Kromě aktualizace Wordu bych se zaměřil na MS12-066,“ radí Storms. Jedná se o aktualizaci, která opravuje chybu umožňující útočníkům obejít ochranu SafeHTML. Jedná se o řešení, které Microsoft používá k ochraně proti útokům na prohlížeč typu cross-site scripting. Storms na tuto opravu upozornil zejména proto, že Microsoft přiznal několik případů zneužití této chyby.

Je dobré provést i opravu MS12-067, která se zaměřuje na dlouho zneužívanou chybu v součásti systému SharePoint Server 2010 nazvané FAST Search Server 2010. Tato rozšíření, které licencuje Microsoft od Oraclu, umožňuje zobrazovat přílohy souborů přímo v prohlížeči, bez nutnosti jejich stahování do počítače a otvírání specializovanou aplikací. Storms upozorňuje na to, že tato chyba je zneužívána již několik měsíců, proto je vhodné opravit ji co nejdříve.

Ostatní aktualizace se týkají všech systémů Windows od verze XP, kromě chystaných Windows 8. Microsoft aktualizoval Internet Explorer 10, který je v nich nainstalován, odděleně.

Microsoft také v úterý spustil dlouho plánovanou čistku v certifikátech, která ruší platnost všech certifikátů kratších než 1024 bitů. Tato očista souvisí s virem Flame, kterému se podařilo přesvědčit službu Windows Update k distribuci škodlivého kódu maskovaného jako aktualizace systému a podepsaného slabším certifikátem.