markasblog

Wczoraj mieliśmy drugi wtorek miesiąca, więc posiadacze systemów operacyjnych ze stajni Microsoftu ujrzeli nowe biuletyny bezpieczeństwa. Tym razem wydano 7 biuletynów z czego jeden został oznaczony jako krytyczny, a pozostałe jako ważne. Dla przypomnienia, w zeszłym miesiącu Microsoft wydał 14 biuletynów bezpieczeństwa. Poniżej zamieszczam skrócony opis każdego ze styczniowych biuletynów.

MS12-004 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach formatu Windows Media, które umożliwiają wykonanie zdalnego kodu

MS12-001 (ważny) – dotyczy luki w zabezpieczeniach jądra systemu Windows, która umożliwia obejście funkcji zabezpieczeń

MS12-002 (ważny) – dotyczy luki w zabezpieczeniach programu Pakowarka obiektów systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-003 (ważny) – dotyczy luki w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows, która umożliwia podniesienie uprawnień

MS12-005 (ważny) – dotyczy luki w zabezpieczeniach systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-006 (ważny) – dotyczy luki w zabezpieczeniach protokołu SSL/TLS, która umożliwia ujawnienie informacji

MS12-007 (ważny) – dotyczy luki w zabezpieczeniach biblioteki AntiXSS, która umożliwia ujawnienie informacji

Zachęcam do aktualizacji systemów.

W tym tygodniu Microsoft opublikował bezpłatną platformę IIS zoptymalizowaną z myślą o deweloperach. Wersja oznaczona jako IIS Express 7.5 ma wbudowany upgrade bazy danych oraz została wyposażona w narzędzie zarządzania zawartością wydaną na licencji open source.

IIS Express 7.5 umożliwia pracę zarówno z ASP.Net Web Forms, jak i ASP.Net MVC. Cała paczka waży niespełna 5MB i nie wymaga konta administratora do uruchomienia lub debugowania aplikacji z Visual Studio. Produkt oferuje pełen zestaw funkcji serwera Web, w tym SSL, URL Rewrite i inne moduły znane z gałęzi 7.x.

IIS Express 7.5 może być zainstalowany obok pełnej wersji serwera IIS oraz ASP.NetServer Development i działa na systemach operacyjnych poczynając od Windowsa XP, a kończąc na Windows 7.

W tym tygodniu Microsoft udostępnił użytkownikom również ASP.Net MVC 3 oraz narzędzie deweloperskie WebMatrix. To nie koniec. Ten tydzień przyniósł również kolejną edycję wbudowanego silnika bazodanowego oznaczonego jako SQL Server Compact Edition 4, którą Microsoft udostępnia za darmo. SQL Server Comapct Edition 4 jest w pełni kompatybilne z API .Net i obsługuje kompatybilną z SQL Server składnie zapytań.

Również w tym tygodniu ujrzał światło dzienne Microsoft Orchard 1.0. który umożliwia zarządzanie systemem blogów oraz zarządzaniem treścią na stronach internetowych bez konieczności znania kogu.

Jak widać Microsoft prężnie działa nie tylko na gruncie systemów operacyjnych, ale chce również dorzuca coś od siebie w dziedzinie technologii internetowych. I dobrze. Konkurencja na każdej płaszczyźnie jest wskazana.

Tradycyjnie już, w każdy drugi wtorek miesiąca Microsoft publikuje biuletyny zabezpieczeń. Tym razem gigant z Redmond wydał 11 poprawek, z których 5 oznaczono jako krytyczne, kolejne 5 zyskało status ważnych, a 11 określono jako średnio ważną. Poniżej krótki opis każdego z biuletynów.

MS10-019 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Authenticode Verification, pozwalającej na zdalne wykonanie kodu

MS10-020 (krytyczny) – dotyczy luki w zabezpieczeniach w kliencie SMB, pozwalającej na zdalne wykonanie kodu

MS10-025 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Services uruchomionym na systemie Microsoft Windows 2000 Server, pozwalającej na zdalne wykonanie kodu

MS10-026 (krytyczny) – dotyczy luki w zabezpieczeniach w kodekach audio dostarczanych przez Microsoft (Microsoft MPEG Layer-3), pozwalającej na zdalne wykonanie kodu

MS10-027 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Player, pozwalającej na zdalne wykonanie kodu

MS10-021 (ważny) – dotyczy luki w zabezpieczeniach w jądrze systemu Microsoft Windows pozwalającej na podniesienie uprawnień za pośrednictwem odpowiednio przygotowanego kodu

MS10-022 (ważny) – dotyczy luki w zabezpieczeniach w VBScript w systemie Microsoft Windows, pozwalającej na zdalne wykonanie kodu

MS10-023 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Publisher, pozwalającej na zdalne wykonanie kodu

MS10-024 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Exchange i Windows SMTP Service, pozwalającej na przeprowadzenie ataku DoS

MS10-028 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Visio, pozwalającej na zdalne wykonanie kodu

MS10-029 (średni ważny) – dotyczy luki w zabezpieczeniach w pakiecie ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) pozwalającej na spoofing.

Pozostaje nam zaktualizować nasze Windowsy i czekać cierpliwie na kolejne biuletyny, które zostaną wydane 11 maja.

Marzec jest miesiącem ubogim jeżeli chodzi o wydane biuletyny zabezpieczeń przez Microsoft. Poniżej opis biuletynów:

MS10-016 (ważny) – dotyczy luki w zabezpieczeniach w programie Windows Movie Maker i Microsoft Producer 2003, pozwalającej na zdalne wykonanie kodu. Problem dotyczy w szczególności systemów Windows XP i Windows Vista, ponieważ na tych systemach program Windows Movie Maker jest instalowany wraz z systemem. Na systemie Windows 7 program jest instalowany opcjonalnie i w większości przypadków problem tej edycji systemu Windows nie dotyczy.

MS10-017 (ważny) – biuletyn rozwiązuje siedem problemów bezpieczeństwa w programie Microsoft Office Excel, pozwalających na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku. Problem dotyczy przede wszystkim: Microsoft Office Excel 2002, Microsoft Office Excel 2003, Microsoft Office Excel 2007, Microsoft Office 2004 for Mac, and Microsoft Office 2008 for Mac, Open XML File Format Converter for Mac oraz wszystkich wspieranych wersji Microsoft Office Excel Viewer i  Microsoft Office Compatibility Pack.

Essential Business Server był propozycją dla firm małej wielkości, w których pracowało do 300 stacji roboczych. W skład EBS wchodzi Windows Server 2008, System Center Essentials 2007, Exchange Server 2007, Forefront Threat Management Gateway, Forefront Security for Exchange, Windows Server Update Services 3.0 oraz Windows SharePoint Services 3.0 dla wersji Standard, a dodatkowo dla wersji Premium: SQL Server 2008 Standard Edition. Całe środowisko opiera się na trzech serwerach dla edycji Standard oraz na czterech serwerach dla edycji Premium (dodatkowy serwer jest odpowiedzialny za obsługę baz danych).

Microsoft podjął w dniu dzisiejszym decyzję, 0 zawieszeniu dalszych prac nad rozwojem EBS z zastrzegając, że pakiet EBS 2008 będzie wciąż sprzedawany, aż do momentu wygaśnięcia wsparcia dla jego poszczególnych składników.

Swoją decyzję Microsoft argumentuje tym, że wiele małych i średnich firm zwróciło się w kierunku zarządzania, wirtualizacji oraz przetwarzania danych cloud computing, dostrzegając w takim modelu możliwość zwiększenia oszczędności, efektywności oraz konkurencyjności.

Klienci, którzy będą zainteresowani przedłużaniem licencji dla poszczególnych części składowych produktu, będą mogli to zrobić za darmo pomiędzy 30 czerwca i 31 grudnia 2010.

W dniu wczorajszym, tradycyjnie już pojawiły się microsoftowe biuletyny zabezpieczeń. Wśród trzynastu aktualizacji znalazło się 5 biuletynów oznaczonych jako krytyczne, 7 biuletynów oznaczonych jako ważne oraz jeden sklasyfikowany jako średni. Poniżej lista wszystkich poprawek z krótkim opisem.

MS10-006 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach w kliencie SMB, pozwalających  na zdalne wykonanie kodu.

MS10-007 (krytyczny) – dotyczy luki w zabezpieczeniach w powłoce systemów Windows 2000, Windows XP i Windows 2003 Server, pozwalającej na zdalne wykonanie kodu.

MS10-008 (krytyczny) – zbiorcza aktualizacja zabezpieczeń dla formatu ActiveX. Jako krytyczny został sklasyfikowany w odniesieniu do wszystkich wydań systemu Windows 2000 oraz Windows XP, a jako ważny został oznaczony w odniesieniu do wszystkich wydań systemu Windows Vista oraz Windows 7.

MS10-009 (krytyczny) – eliminuje cztery luki w zabezpieczeniach w stosie TCP/IP, pozwalające na zdalne wykonanie kodu w określonych okolicznościach (włączona obsługa protokołu IPv6).

MS10-013 (krytyczny) – dotyczy luki w zabezpieczeniach w Microsoft DirectShow, pozwalającej na zdalne wykonanie kodu. Dla systemów Windows Server 2003, Windows Server 2008 i Windows Server 2008 R2 bazujących na architekturze Itanium, biuletyn został oznaczony jako „ważny”.

MS10-010 (ważny) – dotyczy luki w zabezpieczeniach w platformie Hyper-V wbudowanej w system Windows Server 2008, pozwalającej na przeprowadzenie ataku Dos (Denial of Service).

MS10-011 (ważny) – dotyczy luki w zabezpieczeniach w CSRSS (Client/Server Run-time Subsystem), pozwalającej na podniesienie uprawnień. Biuletyn dotyczy systemów Windows 2000, Windows XP oraz Windows Server 2003.

MS10-012 (ważny) – dotyczy luki w zabezpieczeniach w serwerze SMB, pozwalającej na zdalne wykonanie kodu.

MS10-014 (ważny) – dotyczy luki w zabezpieczeniach w protokole Kerberos (protokół uwierzytelniania i autoryzacji w sieci komputerowej) pozwalającej na przeprowadzenie ataku Dos (Denial of Service).

MS10-015 (ważny) – dotyczy dwóch luk w zabezpieczeniach w jądrze systemu Windows, pozwalających na podniesienie uprawnień.

MS10-003 (ważny) – dotyczy luki w zabezpieczeniach w pakiecie Microsoft Office XP i Microsoft Office 2004 for Mac, pozwalającej na zdalne wykonanie kodu i całkowite przejęcie kontroli nad systemem.

MS10-004 (ważny) – dotyczy sześciu luk w zabezpieczeniach w programie Microsoft Office PowerPoint, pozwalających na zdalne wykonanie kodu i całkowite przejęcie kontroli nad systemem.

MS10-005 (średni) – dotyczy luki w zabezpieczeniach w Microsoft Paint pozwalającej na zdalne wykonanie kodu. Najbardziej narażeni są użytkownicy pracujący na kontach z uprawnieniami administratora.

Tradycyjnie zalecam jak najszybszą aktualizację.

Luka w przeglądarce Microsoftu, która została wykorzystana do ataku na komputery między innymi Google zostanie załatana przez korporację jeszcze przed wydaniem lutowych biuletynów zabezpieczeń. Microsoft podjął taką decyzję po naciskach ze strony specjalistów, którzy zwrócili uwagę na fakt, że podatność ta nie dotyczy tylko i wyłącznie IE w wersji 6, ale przy odpowiednich modyfikacjach złośliwego kodu, możliwe jest przeprowadzenie ataku na maszyny z zainstalowanymi późniejszymi wersjami Internet Explorera. Dowodem na to może być koncept opracowany przez Dina Dai Zovi, który przystosował złośliwy kod do ataku na system Windows Vista z zainstalowanym IE7, w sposób umożliwiający mu przeglądanie zasobów dyskowych zaatakowanej maszyny z pominięciem mechanizmu zabezpieczeń DEP. Póki co  nie udało się modyfikować ustawień systemu.

Jak widać, Microsoft poważnie podszedł do problemu deklarując wydanie stosownej poprawki poza standardowym harmonogramem. Dla przypomnienia, biuletyny zabezpieczeń w ramach których są udostępniane poprawki dla produktów Microsoft są publikowane w każdy drugi wtorek miesiąca. Oficjalna data wydania stosownej poprawki ma zostać ogłoszona wkrótce.

Microsoft i Hewlett-Packard podpisali umowę, w której zobowiązują się do zainwestowania w przeciągu trzech lat 250 milionów dolarów w rozwój cloud computing. Celem współpracy jest uproszczenie otoczenia IT dzięki zastosowaniu szerokiej gamy zintegrowanego sprzętu, oprogramowania oraz usług korzystających z profesjonalnych rozwiązań. Cały proces będzie się opierał na 25 – letniej współpracy pomiędzy dwoma gigantami.

Para potentatów ma zamiar udostępnić użytkownikom biznesowym środowisko IT charakteryzujące się dużą wydajnością, niezawodnością oraz dzięki obniżeniu kosztów eksploatacji – dostępnością. Umowa będzie łączyć w sobie różne produkty obu firm i  tak: HP udostępni oprogramowanie HP Converged Infrastructure, które zostało zoptymalizowane pod Microsoft Exchange 2010, HP Insight Software i Business Technology Optimization, a Microsoft swój Microsoft System Center. Powstanie w ten sposób usystematyzowany zbiór, który będzie można łatwo wdrożyć w firmach. Microsoft zobowiązał się do zakupu sprzętu HP, na którym ma być rozwijana usługa Microsoft Azure. Partnerstwo zakłada również inwestycje w rozwój HP Technology Services oraz Microsoft Services co ma na celu prężne rozwijanie implementacji i wsparcia dla rozwiązań będących połączeniem dorobku obu firm.

Kluczem do sukcesu ma być integracja wirtualizacji,system zarządzania centrami danych w różnorodnych środowiskach oraz model przetwarzania danych cloud computing.

Styczeń  nie obfitował w ilość biuletynów zabezpieczeń opublikowanych przez Microsoft, ponieważ ukazała się jedynie jedna łatka, ale oznaczona za to jako krytyczna. Biuletyn oznaczony jako MS10-001 dotyczy luki w zabezpieczeniach w Embedded OpenType Font Engine pozwalającej na zdalne wykonanie kodu. Udany atak pozwala na instalowanie programów, przeglądanie, zmienianie, usuwanie i dodawanie danych oraz tworzenie nowych kont z pełnymi uprawnieniami. Oczywiście najmniej podatne na niebezpieczeństwo były osoby nie pracujące na kontach administratora.

Według federalnego sądu apelacyjnego Microsoft naruszył prawo patentowe wykorzystując w przetwarzaniu dokumentów elektronicznych język XML w sposób, który patent, którego właścicielem jest firma i4i. W ten sposób został podtrzymany wyrok sądu niższej instancji, który nakładał na Microsoft karę w wysokości 290 milionów dolarów. Wyrok sądu zakazuje sprzedaży programu Word po 11 stycznia 2010, a programy sprzedane przed tą datą nie podlegają sankcji. Problem dotyczy Worda 2003 i 2007. Microsoft zapewnia, że do czasu wejścia w życie zakazu, wprowadzi zmiany w działaniu Worda w taki sposób, aby nie naruszał on z żaden sposób praw patentowych, a pakiet Office 2010, którego premiera jest planowana na przyszły rok, zostanie pozbawiony elementów, które wzbudzają wątpliwości.

Microsoft padł ofiarą własnej polityki, która sprowadza się do patentowania wszystkiego co się da. Należałoby się zastanowić, czy nie powinno się wprowadzić zakazu patentowania powszechnie stosowanych rozwiązań software’owych, bo może za chwilę okazać się, że pasjonaci programowania, chcąc wykorzystać jakiś język programowania, będą zmuszeni wykupić prawa do wykorzystania go, od jakieś firmy, czy osoby prywatnej.