Microsoft латает дыры

10 января корпорация Microsoft выпустила первую в новом году серию патчей для своих программных продуктов. Опасные дыры были обнаружены в операционных системах Windows, а также в пакетах Microsoft Office и Exchange.

Уязвимость в Windows связана с особенностями обработки шрифтов, внедренных в веб-страницы или электронные письма в формате HTML.

Для реализации нападения злоумышленнику необходимо послать жертве сформированное особым образом сообщение по электронной почте или заманить пользователя на вредоносный сайт в Интернете.

Эксплуатируя дыры, нападающий теоретически может получить несанкционированный доступ к удаленному компьютеру и выполнить на нем произвольный вредоносный код.

Брешь присутствует в Windows 2000, Windows ХР (в том числе 64-битной версии) и Windows Server 2003 (в том числе с первым пакетом обновлений).

Уязвимость в Microsoft Office и Exchange также может использоваться с целью захвата контроля над удаленным ПК. Проблема связана с ошибками, возникающими при обработке сообщений с применением протокола TNEF (Transport Neutral Encapsulation).

Дыра представляет угрозу для пользователей Microsoft Office 2000/XP/2003 и Microsoft Exchange Server 5.0/5.5 и Exchange 2000 с третьим сервис-паком.

Обе дыры получили статус критически опасных.

Между тем, в Сети появилась информация о двух новых дырах в Windows, связанных с обработкой графических файлов в формате WMF (Windows Metafile). Внеплановый патч для WMF-уязвимости был выпущен корпорацией Microsoft в начале января. Однако, как выяснилось позже, проблема устранена не полностью.

Впрочем, обнаруженные дыры позволяют спровоцировать только аварийное завершение работы приложения, а не выполнение вредоносного кода. Комментариев со стороны Microsoft по поводу новых уязвимостей пока не поступило.

По материалам Компьюлента