Microsoft javítófoltok két kritikus biztonsági résre
Milkovits Gábor, 2006. január 11. 21:15
A Microsoft szokásos havi frissítőcsomagja keretében ezúttal két kritikus biztonsági résre adott ki javítófoltot.
A súlyosabb hiba az Outlook és az Exchange Server szoftvereken található kódvégrehajtási sebezhetőség, amely a Rich Text formátumú e-mailek továbbítására szolgáló TNEF protokollt érinti. Ennek segítségével a támadó a felhasználó aktív közreműködése nélkül teljes ellenőrzésre tehet szert a fertőzött rendszer felett. Szakértők szerint a rés kihasználása technikailag meglehetősen bonyolult, veszélyességét azonban ennek ellenére nagyban növeli, hogy a fent említett, igen széles körben használatos szoftvereken található.
A másik most kijavított kritikus rés a Windows beágyazott webes karakterkészleteket kezelő alkalmazásán található. A támadónak egy olyan speciális beágyazott karaktert kell szerkesztenie, amelyet azután egy letöltött weboldal, vagy e-mail melléklet segítségével juttathat el a felhasználóhoz. Szoftverbiztonsági szakemberek szerint ez utóbbi sebezhetőség kihasználása aktívabb felhasználói közreműködést igényel, így kevésbé veszélyes a másik most orvosolt hibánál. A javítófoltok már az automatikus frissítésen keresztül is elérhetők, a Microsoft pedig a manuális letöltést választóknak is a biztonsági frissítések mielőbbi letöltését tanácsolja. A szoftveróriás egyébként valójában három javítást is kiadott januárban, a rendkívül veszélyesnek ítélt WMF sebezhetőséghez ugyanis soron kívül, már a múlt héten kibocsátották a megfelelő foltot.