Ноябрьское обновление Microsoft: одна критическая уязвимостьИсточник: Cnews
Во вторник, 13 ноября 2007 г., Microsoft выпустила самое маленькое в этом году обновление безопасности. Были устранены одна критическая и одна важная уязвимости. Критическая уязвимость в системной функции ShellExecute позволяла производить вредоносные вызовы из Internet Explorer, используя URL с протоколами, принадлежащими сторонним приложениям. Специально сформированные URI позволяют запускать произвольные приложения, а при определенных условиях - удаленно выполнять произвольный машинный код. Разработчики в Microsoft предполагали, что проверку URL должны производить вызывающие приложения, а не системная функция. Это допущение, в конечном итоге, послужило на пользу хакерам. Две недели назад Adobe выпустила свой патч, предотвращающий использование уязвимости в Acrobat и Reader. Важная уязвимость касается реализации сервиса доменных имен (DNS), ошибка в котором позволяет атакующему перенаправлять DNS-запросы жертвы на произвольный IP-адрес. Обе уязвимости относятся к Windows 2000, XP и Server 2003, сообщает Securityfocus.com. Помимо патчей, устраняющих угрозы безопасности, компания исправила ошибку в системе автоматических обновлений, Windows Server Update Services (WSUS), которая приводила к беспорядку при установке патчей в корпоративных сетях. Компания переименовала категорию продукта для линейки Forefront. Категория называлась «Nitrogen», в двойных кавычках. Этот символ является специальным в WSUS, что вызывало ошибки в администраторской консоли. В ноябрьском обновлении Microsoft впервые отказалась от файла MSSecure.xml, используемого Microsoft Baseline Security Analyzer (MBSA) 1.2. С его помощью администраторы проводили сканирование на предмет новых патчей. Вместо него администраторам предложено проводить сканирование из командной строки. |