Microsoft Patches Critical MP3 Flaw

a Microsoftból hat fontos hírlevelet tartalmaz, amelyek a mérgezett médiafájlokat és weboldalakat érintő lehetséges támadásokkal, valamint a vezeték nélküli és a TCP / IP biztonsági lyukakkal együtt vezetnek. Egy alulreprezentált FTP-hiba továbbra is megszűnt.

Két javítás, az MS09-045 és az MS09-046, olyan sérülékenységeket kijavítanak, amelyek lehetővé teszik a weblapon elrejtett támadási kódot, hogy bármely parancsot futtathasson sebezhető számítógépen. Az első a JScript Scripting Engine több verzióját tartalmazza, és kritikus fontosságú a Windows 2000, XP, Server 2003, Vista és Server 2008 esetében (a Windows Server R2 x64 és Itanium rendszerek kivételével). A második bezár egy lyukat a DHTML szerkesztő összetevő ActiveX vezérlőjében, és a Windows 2000 és XP operációs rendszer számára kritikus fontosságúnak és a Windows Server 2003 rendszerre mérsékelt. A Windows Vista és a Server 2008 operációs rendszer az ActiveX hibát nem érinti.

A harmadik közlemény a Windows Media Formátum egyik kritikus lyukát kezeli, amely átadhatja a sérülékeny számítógép vezérlését, ha a mérgezett.mp3,.wma vagy.wmv médiafájlt tekint a Symantec szerint. Az MS09-047 javítás kritikus fontosságú Windows 2000, XP, Server 2003, Vista és Server 2008 Windows Media Format Runtime vagy Windows Media Services számos kombinációjához. A Microsoft közleménye felsorolja a lehetséges operációs rendszerek és szoftverek teljes körét, de az Itanium- alapú rendszerek, amelyek Windows Server 2003 SP2 vagy Server 2008 szervizcsomagot futtatnak, nem sérülnek.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

A negyedik hiba a TCP / IP csomagokat. A tűzfal csökkenti a kockázatot azáltal, hogy letiltja a TCP / IP csomagokat ismeretlen internetes forrásokból. Az MS09-048-as közlemény kritikus fontosságú a Windows Vista és a Server 2008 rendszerek számára, amelyeket sikeres támadás érhetne el. A hiba csak a Windows Server 2003 és a Windows 2000 rendszer szempontjából fontos, mivel az ilyen operációs rendszerek elleni támadás valószínűleg csak összeomlást okoz. A Windows 2000-hez azonban nincs javítás - a Microsoft szerint a javításnak az operációs rendszer nagy részét újra kell működtetnie, és "nem megvalósítható".

A végleges kritikus javítás javítja a Wireless Lan AutoConfig szolgáltatás problémáját, amely lehetővé teszi a speciálisan kialakított a sebezhető Windows Vista és Server 2008 gépek átvételéhez vezeték nélküli kapcsolaton keresztül küldött támadási csomagokat. A Windows más verzióit nem érinti, és minden vezeték nélküli kártya nélküli számítógép természetesen biztonságos is. Az MS09-049-es közlemény további részleteket sorol fel.

Az IT adminisztrátoroknak meg kell jegyezniük, hogy a Microsoft Internet Information Service FTP összetevőjében korábban bejelentett biztonsági rés nem került rögzítésre a hónapban. A lyuk állítólag aktív támadás alatt áll, ezért a helyszínen működő adminisztrátoroknak ellenőrizniük kell a Microsoft technet hozzászólásainak kerülő megoldásait.