Lutowe biuletyny zabezpieczeń od Microsoftu

Logo MicrosoftJak co miesiąc, i tym razem Microsoft opublikował biuletyny zabezpieczeń. Luty przyniósł nam 7 paczek poprawek, z których 4 oznaczono jako krytyczne, a pozostało zyskały status ważnych. Luty każdego roku staje się znamienny pod względem przygotowywania się producentów przeglądarek internetowych do konkursu hakerów Pwn2Own odbywającego się w ramach corocznej konferencji CanSecWest. Wpływ konkursu na wzmożone zainteresowanie bezpieczeństwem swojej przeglądarki Microsoft objawił wprowadzeniem do Internet Explorera aż 24 poprawek bezpieczeństwa. Poniżej krótkie podsumowanie każdego z biuletynów zabezpieczeń.

MS14-010 (krytyczny) – aktualizacja zabezpieczeń dla przeglądarki internetowej Internet Explorer eliminująca 24 luki w zabezpieczeniach tego oprogramowania. W większości luki w zabezpieczeniach pozwalały na zdalne wykonanie kodu po wejściu na specjalnie spreparowaną stronę internetową, który w efekcie pozwalał atakującemu na przejęcie kontroli nad systemem z uprawnieniami obecnie zalogowanego użytkownika.

MS14-11 (krytyczny) – aktualizacja zabezpieczeń dla silnika VBScript w systemie Microsoft Windows eliminująca 1 lukę w zabezpieczeniach. Luka pozwalała na zdalne wykonanie kodu po wejściu na specjalnie spreparowaną stronę internetową. Atakujący nie miał możliwości zmuszenia użytkownika do wejścia na niebezpieczną stronę, ale mógł skłonić użytkownika do kliknięcia na link do strony zamieszczony w wiadomości email, lub przesłany przez komunikator internetowy.

MS14-007 (krytyczny) – aktualizacja zabezpieczeń dla interfejsu Direct2D w systemie Microsoft Windows eliminująca 1lukę w zabezpieczeniach. Luka pozwalała na zdalne wykonanie kodu z wykorzystaniem specjalnie spreparowanej strony internetowej. Atakujący nie miał możliwości zmuszenia użytkownika do wejścia na niebezpieczną stronę, ale mógł go skłonić do kliknięcia na link do strony zamieszczony w wiadomości email, lub przesłany przez komunikator internetowy.

MS14-008 (krytyczny) – aktualizacja zabezpieczeń dla oprogramowania Microsoft Forefront eliminująca 1 lukę w zabezpieczeniach. Luka pozwalała na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanej wiadomości email skanowanej przez oprogramowanie.

MS14-009 (ważny) – aktualizacja zabezpieczeń dla platformy .NET Framework eliminująca 3 luki w zabezpieczeniach. Luki pozwalały na podwyższenie uprawnień z wykorzystaniem odpowiednio spreparowanej strony internetowej. Atakujący nie miał możliwości zmuszenia użytkownika do wejścia na niebezpieczną stronę, ale mógł go skłonić do kliknięcia na link prowadzący do strony zamieszczony w wiadomości email lub przesłany za pośrednictwem komunikatora internetowego.

MS14-005 (ważny) – aktualizacja zabezpieczeń dla Micorosft XML Core Services eliminująca 1 lukę w zabezpieczeniach. Luka pozwalała na wyciek informacji, do którego atakujący doprowadzał z wykorzystaniem odpowiednio spreparowanej strony internetowej, do której link mógł podesłać w wiadomości email lub za pośrednictwem komunikatora internetowego.

MS14-006 (ważny) – aktualizacja zabezpieczeń dla protokołu IPv6 eliminująca 1 lukę w zabezpieczeniach . Luka pozwalała na przeprowadzenie ataku typu DDos (Denial od Service) z wykorzystaniem dużej ilości specjalnie spreparowanych pakietów IPv6 do zainfekowanego systemu. Warunkiem przeprowadzenia skutecznego ataku z wykorzystaniem tej luki jest przynależność systemu atakującego i atakowanego do tej samej podsieci.

W sumie w lutym Microsoft wyeliminował za pośrednictwem biuletynów zabezpieczeń aż 32 luki w zabezpieczeniach wykrytych w swoich produktach. Lista produktów jest długa i zawiera praktycznie wszsytkie wspierane systemy operacyjne począwszy od Windows XP Service Pack3, a kończąc na Windows 8 i Windows 8.1 włączając w to oczywiście systemy serwerowe.

Dni 12-13 marca tego roku do dni próby dla najpopularniejszych przeglądarek internetowych na rynku. Konkurs Pwn2Own, który odbędzie się w tym roku po raz kolejny przyciągnie hakerów, a nagrody, które są ustanowione za złamanie zabezpieczeń produktów takich gigantów jak Google, Microsoft, Mozilla, czy Apple powodują, że specjaliści od łamania zabezpieczeń nie odejdą od komputerów dopóki nie odniosą sukcesu.

Please follow and like us: