В прошлый вторник Microsoft выпустила очередной набор патчей, выходящий раз в месяц и исправляющий различные уязвимости в продуктах компании. Ударно отработав в августе, когда обновление включало в себя девять заплаток, закрывавших четырнадцать «дыр», редмондцы позволили себе немного расслабиться и исправить сентябрьским патчем только четыре уязвимости.
Хотя это не в Microsoft расслабились, а подотчетный месяц сам по себе оказался достаточно стабильным. «Это был весьма спокойный месяц. Нам не требовалось обращать внимание своих клиентов на что-либо», - подтверждают слова Тома Кросса (Tom Cross), исследователя безопасности IBM Internet Security System X-Force.
Из входящих в состав патча заплаток одна носит критический статус, а три другие - важный. Надо сказать, что изначально в патче планировалось исправить пять уязвимостей, но одна из них была закрыта еще до его выхода. Итак, над чем же поработали Microsoft на этот раз?
Критическое обновление устраняет уязвимость, из-за которой происходило исполнение удаленного кода при обращении Microsoft Agent к некоторым URL. Подобная уязвимость затрагивала только Windows 2000 SP4. При этом в Microsoft обращают внимание, что учетные записи, наделенные правами администратора, были подвержены этой уязвимости в большей степени, чем ограниченные учетные записи. Надо сказать, что особую актуальность уязвимость исполнения удаленного кода приобрела именно в этом году, когда атакующие стали активно взламывать известные интернет-сайты, которые и служили орудием получения доступа к отдельным компьютерам.
Другая, имеющая более низкий статус заплатка затрагивает уязвимость Visual Studio, которая позволяла атакующему удаленно исполнять код на компьютере жертвы. Том Кросс отметил, что об этой уязвимости стало известно еще в январе, но она так и не смогла нанести значительный урон: «Это не настолько распространенное среди обычных пользователей приложение. А программисты обычно не попадаются на банальные уловки в стиле нажми-сюда».
Третья заплатка закрывает «дыру» в Windows Services для Unix 3.0, позволявшую атакующему повышать уровень своих привилегий. Четвертое обновление устраняет уязвимость в Windows Live Messenger и MSN Messenger, из-за которой атакующий мог получить полный контроль над пораженной системой.