Microsoft zítra opraví zásadní chyby ve Windows a IE

Opraveny mají být i tři zranitelnosti typu zero-day a kromě Windows a Internet Exploreru budou uvolněny záplaty i pro webový server IIS a také pro software pro práci s diagramy MS Visio. Jedna z opravovaných zranitelností je přitom již ve velké míře několik týdnů zneužívána útočníky.

Andrew Storms, ředitel bezpečnostních operací ve společnosti nCircle Security, říká, že oprava rovnou tří zero-day zranitelností je velkou novinkou. Jedna z nich je obsažena v Internet Exploreru, druhá ve Windows a třetí ve webovém serveru Internet Information Server.

Zranitelnost v Internet Exploreru uznal Microsoft již 22. prosince, několik týdnu po té, co na ni upozornila francouzská bezpečnostní společnost Vupen, podle níž se týká všech verzí IE, včetně verze 8.0 z roku 2009. Microsoft v této souvislosti také varoval uživatele před útočníky, kteří chybu začali zneužívat.

Zranitelnost ve Windows se týká grafického enginu pro vykreslování zmenšených náhledů obrázků (tzv. thumbnail)  v adresářích. Tato chyba byla odhalena v polovině prosince 2010 na bezpečnostní konferenci v Jižní Koreji a Microsoft k ní publikoval zprávu 4. ledna s tím, že pro objevenou chybu nehodlá uvolnit mimořádnou záplatu. Na začátku ledna také Microsoft poměrně překvapivě informoval o pěti dalších neopravených chybách, z nichž zítra zazáplatuje celkem tři. To Storms komentuje slovy, že jde o velmi příznivé zprávy.

Jedna z chyb, kterou Microsoft toto úterý neopraví, je zranitelnost ve zpracování MHTML, která byla potvrzena teprve před týdnem a půl (více o ní viz článek Microsoft varuje před novou neopravenou zranitelností ve Windows). Bezpečnostní experti již tehdy předpovídali, že Microsoft stihne opravu uvolnit k nejbližšímu řádnému termínu vydávání aktualizací pro jeho produkty a bude potřeba počkat se záplatou pravděpodobně další měsíc.

Celkově jsou z opravovaných zranitelností tři označeny jako „kritické“, což je nejvyšší stupeň v hodnocení Microsoftu a dalších devět nese označení „důležité“. Storms k tomu dodává, že Microsoft přináší opravy problémů, jež lze považovat za vážnější a na barevné stupnici nedávno představené Jonathanem Nessem, který pracuje jako inženýr v Microsoft Security Response Centru, by je bylo možné označit jako červené, oranžové a žluté. Celkově 10 z 12 opravných balíčků je určeno pro operační systémy Windows, přičemž jeden z nich je zaměřen na opravu DoS zranitelnosti IIS 7.0 a IIS 7.5 v OS Windows 7 a Windows Server 2008 R2. Zbylé dva opravné balíčky jsou pak určeny k opravě jedné nebo více chyb v Internet Exploreru a ve Visiu.