Pozor! Nové záplaty Microsoftu. Opravte si systém

  0:01aktualizováno  0:01
Přesně tak, jak zhruba před týdnem společnost Microsoft oznámila, uvedla v noci na středu deset nových záplat. Zbystřit pozornost by měli všichni uživatelé OS Windows a dalších programů této firmy. Několik záplat je totiž označeno jako kritické.
Po poměrně na záplaty chudém měsíci květnu nám Microsoft připravil větší dávku bezpečnosti v podobě nových záplat pro své produkty. Firma jich nabízí deset a opravuje jimi více či méně závažné nedostatky. Tři opravy přitom záplatují kritické nedostatky. Podívejme se na ně podrobněji.

Červnové záplaty

  • První červnová záplata je již jubilejní 25. uvedenou v tomto roce a vedle toho, že se jedná o souhrnnou aktualizaci prohlížeče Internet Explorer za uplynulé období, opravuje ještě dva nové nedostatky označené dohromady jako kritické. První nedostatek se týká obrazového formátu PNG, který může být zneužit k napadení počítače prostřednictvím chyby v Internet Exploreru. Chyba v renderovací knihově PNG může způsobit přetečení zásobníku. Pokud je při napadení uživatel přihlášen jako administrátor, může útočník získat vládu nad celým systémem. Na útočníkem upravený PNG soubor lze přitom narazit na internetové stránce nebo v e-mailu, který je vytvořen v HTML formátu.

    Druhá oprava, která je samostatně označována jako méně závažná, opravuje problémy, které měl Internet Explorer s rozpoznáváním přesměrování zdroje XML dat. Také v tomto případě se upravený XML soubor může nacházet na webové stránce nebo v e-mailové zprávě, kde však musí uživatel klinknou na odkaz, který jej na závadnou stránku zavede. V případě, že je útočník úspěšný, může získat přístup k lokálním XML souborům uživatele

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS05-025.

    Postižené systémy:
    Internet Explorer 5.01 SP3 a SP4
    Internet Explorer 6.0 SP1
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Windows 98
    Windows 98 Second Edition (SE)
    Windows Millennium Edition (ME)

  • Druhá oprava také patří mezi ty, kterými Microsoft záplatuje kritické nedostatky a opravuje kancelářská software Microsoftu. Chyba se týká způsobu, jakým operační systém nakládá se standardní HTML nápovědou. V rámci tohoto systému totiž nejsou dostatečně kontrolována vstupní data. Pokud útočník vytvoří upravený HTML kód, který může vložit na stránku, nebo například do reklamního banneru a útok se mu podaří, může následně spustit v počítači libovolný kód. V případě, že je uživatel přihlášen jako administrátor systému, získá stejná práva.

    Bližší podrobnosti a odkaz na stažení záplaty v bezpečnostním bulletinu MS05-026.

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Windows 98
    Windows 98 Second Edition (SE)
    Windows Millennium Edition (ME)

  • Poslední kritická záplata opravuje nedostatek v hodnocení příchozích SMB (Server Message Block) packetů. SMB je vedle jiných systémů důležité pro sdílení souborů, tiskáren, portů apod. Chyba může vést k ovládnutí počítače, ale spíše se projeví jako útok typu DoS, který slouží k znepřístupnění služeb, jako je například internetová stránka.

    Další informace i odkaz na stažení záplat hledejte v bezpečnostním bulletinu MS05-027.

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1

  • Další oprava již nepatří k těm, které opravují kritické nedostatky, ale i tak by neměla uniknout vaší pozornosti. Opravuje chybu Windows v nakládání se systémem Web Client. Speciálně upravený požadavek tohoto systému může vést k přetečení zásobníku a následnému spuštění závadného kódu. Útok nelze provést jako anonymní uživatel, ale útočník se musí nejdříve přihlásit. Podobně jako v předchozím případě může chyba může vést k ovládnutí počítače či zvýšení práv přihlášeného uživatele, ale spíše se projeví jako útok typu DoS.

    Další informace spolu s odkazy na stažení záplaty můžete nalézt v bezpečnostním bulletinu MS05-028.

    Postižené OS:
    Windows XP Service Pack 1
    Windows Server 2003 Gold

  • Pátá záplata je určena pro nápravu nedostatku v systému Outlook Web Access pro Exchange Server 5.5. Chyba typu cross-site scripting ve způsobu kódování HTML ve formuláři pro vytváření nových zpráv, umožní útočníkovi přístup ke stejným datům na serveru Outlook Web Access, jaké má uživatel. Ten navíc musí - byť nevědomky - na spuštění závadného kódu spolupracovat. Chyba může být zneužita speciálně upravenou zprávou, kterou uživatel obdrží.
  • Další informace a odkazy na stažení záplaty můžete nalézt v bezpečnostním bulletinu MS05-029.

    Postižený systém:
    Exchange Server 5.5 SP4

  • Tato nekritická avšak důležitá oprava reaguje na nedostatek v poštovním programu Outlook Express (OE). Pokud je využíván i jako systém na čtení příspěvků v rámci diskusních skupin (newsgroup), může být napaden prostřednictvím nezabezpečeného zásobníku funkce NNTP (Network News Transfer Protocol) Response Parsing v OE. Potenciální útočník v případě úspěchu získá stejná práva k systému, jako přihlášený uživatel. Musí však nejdříve uživatele donutit k připojení na závadný NNTP server. Poté může odeslat speciálně upravenou odpověď, aby napadl systém

    Zajímají-li vás podrobnosti či odkazy na stažení záplat, využijte bulletin MS05-030.

    Postižené systémy:
    Internet Explorer 5.01 SP3 a SP4
    Internet Explorer 6.0 SP1
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Windows 98
    Windows 98 Second Edition (SE)
    Windows Millennium Edition (ME)

  • Třicátáprvní letošní záplata opravuje nedostatek ve službě Interaktivní trénink krok za krokem (Step-by-Step Interactive Training). Útočník může využít chyby v bookmarkových odkazech, pokud připraví závadný soubor s takovým bookmarkovým odkazem. Upravený soubor může přijít uživateli e-mailem jako příloha, kterou však musí otevřít nebo se může nacházet na webové stránce. Útočník v případě úspěchu získává práva, na úrovní práv uživatele, jehož prostřednictvím byla chyba zneužita.
  • Další informace a odkazy na záplaty hledejte v bezpečnostním bulletinu MS05-031.

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Microsoft Interactive Training

  • Méně závažný problém řeší oprava systému Microsoft Agent. Ten umožňoval ve specifických případech podvrhnout ověřený obsah z internetu. Uživatel tak mohl být uveden v omyl, že na internetu využívá zabezpečený či ověřený obsah. Chyba není označena jako příliš nebezpečná, neboť při přístupu na stránku s podvrženým obsahem musel uživatel ještě provést několik akcí, aby se mohl nainstalovat závadný kód.

    Podrobněji se můžete o tomto problému přečíst v bulletinu MS05-032, kde jsou také odkazy na záplaty

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Windows 98
    Windows 98 Second Edition (SE)
    Windows Millennium Edition (ME)

  • Devátý červnový update se také řadí k těm, které nejsou příliš závažné. Útočník, který je zneužije totiž může jen sledovat proměnné v relaci uživatele Telnet klienta. Uživatel však musí být připojen k telnet serveru, který útočník využívá ke zneužití zmíněného nedostatku. I když se tímto způsobem nelze dostat k žádným citlivým údajům typu heslo, je na druhou stranu možné získat některé údaje, které lze později využít k jinému druhu útoku.
  • Záplaty a podrobnější informace se nacházejí v bezpečnostním bulletinu MS05-033.

    Postižené OS:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 Gold a SP1
    Services For Unix 2.2, 3.0 a 3.5

  • Poslední opravu, kterou obsahuje balíček záplat pro tento měsíc, je kumulativní oprava ISA serveru, která vedle doposud opravených nedostatků, likviduje i dva nové problémy. Ten první se týká problémů v ISA Server 2000, který s nakládáním s některými HTTP požadavky. Útočník může vytvořit takový druh HTTP požadavku, který dokáže nakazit cache ISA serveru. Na základě toho se pak může pokusit obejít některá omezení a dostat se k obsahu, ke kterému neměl původně přístup. Chyba může být zneužita pouze z IP adresy či domény stejné jako je napadaný server.

    Druhý řešený problém zamezuje nedovolenému zvýšení práv uživatele. Celý nedostatek spočívá v tom, jak ISA server ověřuje spojení prostřednictvím služby NetBios v rámci paketového filtru. Chyba může být zneužita, pokud se útočníkovi podaří spojit pře protokol NetBios s ISA serverem.
  • Pro podrobnější informace a odkazy na záplaty neváhejte využít bezpečnostní bulletin MS05-034.

    Postižené systémy:
    ISA Server 2000 SP2
    Small Business Server 2000 SP3
    Small Business Server 2000 SP4
    Small Business Server 2003 Gold
    Small Business Server 2003 SP1

    Odstraňte škodlivé kódy

    Microsoft také nezapomněl na vydání další verze svého software na odstranění škodlivého software. Co je nového a odkazy na stažení můžete najít zde.

    Automatické vyhledání a instalace záplat

    K instalaci záplat také můžete využít stránek Windows update pro OS Windows či Office update pro kancelářské programy (měli byste však mít po ruce instalační CD). Výhodou je, že vám bude proskenován systém a na základě takto získané informace budou instalovány pouze potřebné opravy.

    50. výročí přistání na Měsící

    Americký kosmický let Apollo 11 splnil svoji misi 20. července 1969. Na povrch Měsíce jako první člověk vstoupil velitel posádky Neil Armstrong. Doprovázel jej Edwin "Buzz" Aldrin, zatímco Michael Collins zůstal na palubě vesmírné lodi.

    Téma Apollo 11 v článcích Technet.cz:
    O čem si povídali kosmonauti Apolla 11. Poslechněte si tisíce hodin „ticha“
    Co kdyby Apollo 11 zůstalo na Měsíci? Pohřbili by je přes rádio zaživa
    Vlajky na Měsíci stále stojí. Podívejte se na důkaz ze sondy LRO

    Nejčtenější

    U Prochorovky to bylo jinak. Němci nám kradou tankovou bitvu, zuří Rusko

    U Prochorovky se v červenci 1943 odehrála jedna z největších tankových bitev.

    Nejslavnější tanková bitva u Prochorovky je ruská propaganda, napsal Die Welt s odkazem na zjištění německých a...

    K síti se připojila největší solární elektrárna. Rekord dlouho nevydrží

    Pohled na elektrárnu Nur Abú Zabí ze vzduchu

    Ve Spojených arabských emirátech k začátku července spustili největší fotovoltaickou elektrárnu na světě. Má maximální...

    Amatérský astronom vyfotografoval supertajný americký raketoplán X-37B

    Americký raketoplán X-37B na orbitě

    Nizozemský pozorovatel satelitů a vědecký novinář Ralf Vandebergh nejspíš udělal nejlepší fotku svého života. Podařilo...

    Jeho formule chtěl každý. Autor slavných vystřihovánek slaví devadesátiny

    Richard Vyškovský se svým modelem cisternové stříkačky CAS 32 na podvozku Tatra...

    Richard Vyškovský je pro laickou veřejnost nepříliš známé jméno, v modelářské komunitě je však doslova celebritou. S...

    Největší dobrodružství 20. století začalo o tři čtvrtě sekundy později

    Tři Američané právě odstartovali na misi, kterou bedlivě sleduje celý svět.

    Ani ostřílený hlasatel vesmírného střediska na Mysu Canaveral nedokáže zakrýt pohnutí. Je 16. července 1969, 9:32 ráno...

    Další z rubriky

    Software zdarma: Nejlepší alternativa ke kacelářskému balíku MS Office

    Ilustrační foto - notebook

    Sada kancelářských nástrojů LibreOffice je připravena plnit i náročné potřeby pro tvorbu a editaci dokumentů a je více...

    Tipy a triky pro Windows 10: podmaňte si centrum instalovaných programů

    Windows 10

    Windows postupně přešel na nový systém instalace a odinstalace programů. Jeho nová podoba nabízí více než ta předchozí....

    Software zdarma: udržte PC v optimálním stavu

    Ilustrační foto - výkon

    Odstraňte nepotřebné soubory, vyčistěte registr, zameťte stopy po brouzdání na internetu a optimalizujte počítač, stačí...

    Advantage Consulting, s.r.o.
    CNC OBRÁBĚČ

    Advantage Consulting, s.r.o.
    Moravskoslezský kraj
    nabízený plat: 27 000 - 37 000 Kč

    Najdete na iDNES.cz