Čtvrtek 21. října 2021, svátek má Brigita
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 21. října 2021 Brigita

Záplatujte si Windows. Microsoft nabízí opravy kritických problémů

V druhém měsíci tohoto roku si společnost Microsoft připravila pro uživatele jejích produktů celkem sedm bezpečnostních oprav a mezi nimi i několik se stupněm kritická. Proto neváhejte a záplatujte.

Dalších sedm záplat připravila společnost Microsoft pro své zákazníky. Dvě z těchto oprav jsou označeny jako kritické.

Jak vůbec záplatování u Microsoftu probíhá?

V nedávné prezentaci Dalibor Lukeš, který v Microsoftu zastává pozici platform strategy manager, představil plán, podle kterého firma postupuje při po objevení chyby a práci na její opravě.

Microsoft přitom k objevení chyby využívá jak svého bezpečnostního týmu, tak externí bezpečnostní firmy, se kterými má na toto téma smlouvu, ale i partnerů a zákazníků. Firma tvrdí, že jen 5 % objevených chyb pochází ze zdrojů, které nejsou s firmou ve smluvním vztahu a hrozí zde tak riziko zveřejnění podrobností o chybě.

Od ohlášení chyby pak v Microsoftu probíhá standardizovaný proces, na jehož konci je výsledná záplata. Nejprve je chyba analyzována a podle její závažnosti je případě vydáno doporučení (security advisory) jak jí rychle čelit, třeba i za cenu omezení funkčnosti systému s touto chybou.

Následuje vývoj opravy a největší patrně nejvíc časově náročná fáze, kterou je testováni opravy. Na konci tohoto postupu je vydání bezpečnostního bulletinu, který obsahuje příslušnou záplatu.

Že je firma v případě opravdu vážného nebezpečí schopna reagovat poměrně rychle, svědčí například nedávný problém s obrazovými WMF daty, kde se záplata objevila zhruba do týdne od jejího zveřejnění. Průměrná doba práce na záplatě (počítají se i opravy méně závažných chyb) se však pohybuje o někde kolem 50 dnů. Mělo by to podle firmy stačit, protože většinou není zneužití chyby akutní problém. Chyby, které na svou opravu čekají déle, většinou nebyly analyzovány jako závažné.

Většina virů a další problémové havěti totiž vychází až po zveřejnění záplaty, kde jejich tvůrci analýzou zjistí analýzou záplaty, jak chybu zneužít. První exempláře se pak objevují do 9 dnů od vydání opravy. To je také důvod, proč by si měl každý uživatel se záplatováním svého systému. A vyplývá z tohoto, že firma nemůže vydávat postupně záplaty pro jednotlivé platformy, tak jak je má vyrobeny, ale najednou.

Únorové záplaty

 

  • První záplata tohoto měsíce je kumulativní oprava prohlížeče Internet Explorer (IE) ve verzi 5.01 s SP4. Právě pro tento prohlížeč nahrazuje předchozí opravu chybné práce s WMF soubory, která měla právě na IE 5.01 problémy.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-004.

    Postižené systémy:
    Windows 2000 Service Pack 4
    Internet Explorer 5.01 SP4

  • Druhá únorová záplata má také statut kritické. Tentokrát se jedná problém s multimediálním přehrávačem Windows Media Player (WMP), kde existuje možnost spuštění závadného kódu a převzetí kontroly nad napadeným PC útočníkem. Uživatel musí být ale přihlášen jako administrátor. Chyba spočívá v nakládání s obrazovými soubory ve formátu bitmap (BMP), respektive s parsovacími funkcemi. Útočníkovi stačí připravit upravený BMP soubor a umístit jej na webovou stránku nebo jako součást e-mailové zprávy. Chyba způsobí přetečení zásobníku.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-005.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows Server 2003 SP1

    Microsoft Windows 98 a Second Edition (SE)
    Microsoft Windows Millennium Edition (ME)
    Windows Media Player for Windows XP
    Windows Media Player 9.0
    Windows Media Player 7.1
    Windows Media Player 10

  • Šestá letošní a třetí únorová oprava se také okrajově týká Windows Media Playeru (WMP). Pokud uživatel využívá jiný prohlížeč než Internet Explorer, mohl být doposud postižen chybou, která se nacházela ve způsobu jakým zásuvný modul WMP pracoval s vadným EMBED elementem. Takový upravený EMBED element se přitom může nacházet na webové stránce, či případně jako součást reklamního banneru. Podle práv přihlášeného uživatele, pak může například získat přístup k celému počítači.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-006.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows XP x64 Edition
    Windows Server 2003 a SP1
    Windows Server 2003 x64 Edition

  • Další chyba, kterou Microsoft tento týden opravuje, sice neumožní útočníkovi převzít kontrolu nad celým systémem, ale dovolí znepřístupnit službu (DoS).

    Oprava tak napravuje nedostatek v Internet Group Management Protocol (IGMP) v3. Systém totiž doposud nedokázal ignorovat speciálně upravenou zprávu, kterou může útočník právě za účelem zablokování serveru útočník použít.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-007.

    Postižené systémy:
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows XP x64 Edition
    Windows Server 2003 a SP1 vč. Itanium-based
    Windows Server 2003 x64 Edition

  • Další problém, který firma v únoru opravuje, šel na vrub Web Clienta. V důsledku toho, jak Windows zpracovávají požadavky Web Clineta, mohl být systém napaden a převzata nad ním kontrola. Chyba byla v nezabezpečené vyrovnávací paměti a zneužít ji mohl pouze uživatel s již existujícími přístupovými právy. Tomu stačilo poslat několik speciálně upravených zpráv.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-008.

    Postižené systémy:
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows XP x64 Edition
    Windows Server 2003 a SP1 vč. Itanium-based
    Windows Server 2003 x64 Edition

  • Deváté letošní záplata, by se dala nazvat exotickou. Chyba se totiž týká Korejského Imput Method editoru, který například umožňuje pracovat s klávesnicí i v prostředí složitého korejského jazyka. Chybu může zneužít přihlášený uživatel, který si tak může zvýšit práva.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-009.

    Postižené systémy:
    Windows 2000 Service Pack 3 a Service Pack 4
    Windows XP Service Pack 1 a Windows XP Service Pack 2
    Windows XP x64 Edition
    Windows Server 2003 a SP1
    Windows Server 2003 x64 Edition
    Microsoft Office 2003

  • Jubilejní desátá letošní záplata se týká přímo programu PowerPoint (PP)2000. Zneužít lze jeho složku Temporary Internet Files a získat tak neoprávněně některé údaje či data. Nedostatek byl ve způsobu, jakým spolupracovat PowerPoit s Internet Explorerem, když chtěl PP zpracovávat některá HTML data.

    Další podrobnosti a odkaz na záplaty jsou v bezpečnostním bulletinu MS06-010.

    Postižené systémy:
    MS Office Power Point 2000
    MS Office 2000 SP3

  • Odstraňte škodlivé kódy

    Microsoft také nezapomněl na vydání další verze svého software na odstranění škodlivého software. Co je nového a odkazy na stažení můžete najít zde.

    Automatické vyhledání a instalace záplat

    K instalaci záplat také můžete využít stránek Windows update pro OS Windows či Office update pro kancelářské programy (měli byste však mít po ruce instalační CD). Výhodou je, že vám bude proskenován systém a na základě takto získané informace budou instalovány pouze potřebné opravy

    • Nejčtenější

    Test sluchátek: Z šesti novinek nás nejvíce nadchly ty nejlevnější

    Premium Test zcela bezdrátových sluchátek přinesl docela neobvyklé překvapení: úplně nejlevnější model v celkovém hodnocení...

    Hledá se náhrada za gripeny. Zkusili jsme udělat tendr „nanečisto“

    Páteří českého vojenského letectva je v současné době čtrnáct kusů bojového letounu Saab JAS-39 Gripen, pronajatých od...

    Weby vás tajně sledují prostřednictvím otisku zařízení

    Na světě je téměř 1,9 miliardy internetových stránek. Mnohdy slouží k pokoutným účelům a dost často z nich obchodníci...

    KOMENTÁŘ: Budoucnost operačního systému je v jeho pronájmu

    Ač to na první pohled není patrné, svět se pomalu chystá na další revoluční změnu. V budoucnu si věci nebudeme kupovat,...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Apple vylepšil svá oblíbená sluchátka a absurdně zlevnil hudební službu

    Pondělní záplava novinek se v nemalé míře soustředila na zvukové a hudební produkty. Podrobně vás jimi provedeme.

    Váš syn bude žít jen pár týdnů. Zpověď matky zesnulého hokejisty Buchtely

    Premium Přežít své dítě. Pro každého rodiče ta nejhorší představa. Teprve dvacetiletý hokejista Ondřej Buchtela zemřel loni v...

    Test sluchátek: Z šesti novinek nás nejvíce nadchly ty nejlevnější

    Premium Test zcela bezdrátových sluchátek přinesl docela neobvyklé překvapení: úplně nejlevnější model v celkovém hodnocení...

    Jak se rodí sebevražda. Psychiatr Höschl nejen o schizofrenii a depresi

    Premium Jak velká musí být síla, která člověka dožene k tomu, že si sám dobrovolně vezme život? Jaké jsou poslední myšlenky...

    • Další z rubriky

    Připravte si záchrannou brzdu pro případ, kdy PC odmítá nastartovat

    Přijde to zrovna v tu nejméně vhodnou dobu. PC se nechce spustit. Na jeho „ochoření“ vlastně není vhodná doba nikdy....

    Evoluce ikon: jak se měnily od Windows 1 k Windows 11

    Připravovaný operační systém Windows 11 slibuje proměnu pracovní plochy, nabídky Start, hlavního panelu nebo nové sady...

    Windows 11 se blíží, ale vy si je možná nebudete moci nainstalovat

    Premium Už za čtrnáct dní bude na trh oficiálně uvedena nová verze operačního systému Windows, která má nahradit Windows 10....

    Microsoft vydává první aktualizace Windows 11. Na tu důležitou však čekáme

    Bylo druhé úterý v měsíci, a tak společnost Microsoft vydala pravidelné aktualizace pro své produkty. Přibyla jedna...

    Přežili krizi i povodně. Dnes mají vyprodáno na půl roku dopředu

    Podnikat začal Pavel Jech krátce po revoluci. Zažil vzestupy i pády, letos rodinná firma oslaví již třicet let na trhu....

    Kvůli nárůstu cen na trhu končí další dodavatelé plynu a elektřiny

    V pondělí ukončí dodávky všem odběratelům po firmě Bohemian Energy další společnost, tentokrát děčínská Kolibřík...

    Psychiatr mě sexuálně napadl, partner málem zabil, popisuje dcera Urbánkové

    Dcera zpěvačky Nadi Urbánkové (82) Jana Fabiánová (42) promluvila o sexuálním napadení v ordinaci lékaře. Zavzpomínala...

    ČEZ od ledna zdraží: elektřinu asi o třetinu, plyn o víc než polovinu

    ČEZ od nového roku zdraží elektřinu i plyn. Podle šéfa energetické společnosti Daniela Beneše to může být asi třetina u...

    Čína má Evropu v hrsti, za pár týdnů dojde hořčík. Auto bez něj nevyrobíte

    Premium Vše nasvědčuje, že současná čipová krize v automobilovém průmyslu je jen zahřívacím kolem před tím, co se na Evropu...