Krytyczne aktualizacje dla Windows NT/XP/2000/2003
Wczorajszego dnia Microsoft wydał dwie aktualizacje bezpieczeństwa dla wszystkich systemów operacyjnych rodziny Microsoft Windows oraz dla platform serwerowych. Zalecane jest jak najszybsze pobranie najnowszych łatek. Eksperci ostrzegają, że użytkownicy systemów operacyjnych, którzy nie ściągną zabezpieczenia ryzykują, że hakerzy – przynajmniej teoretycznie – mogą włamać się do ich komputerów i następnie wykasować dane, lub skraść zawartość dysków.
„Wszystkie obecne wersje systemu Windows są zagrożone” – mówi Stephen Toulouse z firmy Microsoft.
Marc Maiffert z eEye Digital Security, który poinformował Microsoft o błędzie już pół roku temu, skrytykował producenta systemu Windows za opieszałość w informowaniu o błędzie i możliwości jego wyeliminowania. „Jest to jeden z najpoważniejszych błędów w systemie Miscrosoftu, jakie kiedykolwiek stwierdzono” – mówi Maiffert. Jednak Sal Viveros, ekspert do spraw zabezpieczeń w McAfee Security powiedział, że tego typu „opóźnienie” to standardowa praktyka w przemyśle informatycznym. „Zazwyczaj jeżeli ktoś znajdzie błąd w oprogramowaniu, to daje producentowi jakiś czas na jego naprawienie. Jeżeli ludzie nie wiedzą o błędzie, to istnieje mniejsze ryzyko, że autorzy wirusów wymyślą coś, co pozwoli wykorzystać taki błąd” – mówi Viveros.
Microsoft mówi, że wszystko trwało kilka miesięcy, bo firma chciała się upewnić, że eliminując lukę zlikwiduje jednocześnie pokrewne problemy w systemie.
Pierwsza z wydanych łatek przez Microsoft usuwa błąd w usłudze WINS serwerów Windows NT, 2000 oraz 2003, który pozwala na zdalne wykonanie przez atakującego kodu po stronie serwera lub złamanie usługi WINS (Windows 2003) poprzez wysłanie odpowiednio spreparowanego pakietu lub serii pakietów do serwera.
Szczegółowe informacje oraz linki do łatek w biuletynie MS04-006
Druga łatka natomiast usuwa błąd w bibliotece ASN.1 powodowany przez niesprawdzany bufor który pozwala atakującemu na wykonanie po stronie atakowanego systemu kodu poprzez wysłanie odpowiednio spreparowanego pakietu.
Szczegółowe informacje oraz linki do łatek w biuletynie MS04-007
Również istnieje możliwość dokonania aktualizacji przez Windows Update.
Źródło: Microsoft, BBC