Reszkessetek, Messenger hívők!

A múlt havi patch-et követően ismét kiadta szokásos frissítés-gyűjteményét a Microsoft, mely összesen 26(!) hibát iktat ki, tizenegy update révén. Az augusztusi csomagban található javítások közül hat kritikus besorolású, öt pedig fontos minősítésű.

Kritikus sérülékenységek
Szép, „rövid” nevet kapott az első biztonsági rés: Vulnerability in the ActiveX Control for the Snapshot Viewer for Microsoft Access Could Allow Remote Code Execution (955617). Ez a Microsoft Office Access 2000-et, 2002-t és 2003-at érinti; a szoftverekben rejlő hiba révén egy támadó egy speciális feltételeknek megfelelően létrehozott weboldallal távolról tetszőleges kódot futtathat egy PC-n. A 924090-es számú sebezhetőség révén hasonlóra nyílik lehetőség a rosszindulatú internetezőknek, csak ebben az esetben a következő redmondi programok érintettek: Microsoft Office 2000, Microsoft Office XP, Microsoft Office 2003 Service Pack 2, Microsoft Project 2002 Service Pack 1, Microsoft Office Converter Pack, Microsoft Works 8. Ugyanilyen veszélyt iktat ki az Internet Explorerhez kiadott kumulatív, vagyis összegző patch (952954).

A másik három, kritikusnak minősített sérülékenység lehetővé teszi a támadók számára, hogy programokat telepítsenek, adatokat nézzenek/változtassanak meg, vagy töröljenek le, illetve új, teljes jogú felhasználó(ka)t hozhatnak létre a rendszerben. Érintett a Word 2002 és 2003 (955048), valamint számos Excel és Powerpoint verzió (954066). Ezenfelül a Windows Image Color Color Management System is hibás, pontosabban ennek Windows 2000-ben, Windows XP-ben és Windows Server 2003-ban megtalálható változatai (952954).

Fontos patch-ek
Változatosabb képet mutatnak a fontos besorolású update-ek. Az IPsec Policy Processingben felfedezett biztonsági rést javító patch (953733) nélkül például egy támadó a sérülékeny rendszeren elérheti, hogy az IPsec szabályok ne legyenek figyelembe véve, minek következtében a hálózaton keresztül egyszerű szövegben kerülnek továbbításra olyan adatok, amelyek kódolást igényelnének. Ezt a forgalmat aztán „le lehet hallgatni”, és valószínűleg módosítani is, amivel elérhető, hogy a felhasználói jogosultságokat meg lehessen változtatni, vagy akár engedély nélkül kódot futtatni a számítógépen.

Hibásnak bizonyult az Outlook Express és a Windows Mail is, Windows XP és Windows Vista alatt – valamint Windows Server 2003 és Windows Server 2008 környezetben is, de itt alacsony minősítést kapott a patch (amely a 951066-os számmal rendelkezik). Amennyiben a felhasználó egy speciális feltételeknek megfelelően megalkotott weboldalra téved, azon keresztül információk szivároghatnak ki rendszeréből.

Két, fontosnak minősített sérülékenység lehetővé teszi a támadók számára, hogy programokat telepítsenek, adatokat nézzenek/változtassanak meg, vagy töröljenek le, illetve új, teljes jogú felhasználó(ka)t hozhatnak létre a rendszerben. Ezek egyikét a Windows 2000-ben, Windows XP-ben, Windows Server 2003-ban és Windows Server 2008-ban találhatjuk, melyet a 950974-es számú patch iktathat ki. A másik frissítés (949785) ismét a Microsoft Office Powerpointot érinti, mégpedig a következő változatokat: Microsoft Office PowerPoint 2002, Microsoft Office PowerPoint 2003, Microsoft Office PowerPoint 2007, Microsoft Office PowerPoint Viewer 2003, Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 File Formats, Microsoft Office 2004 for Mac, és Microsoft Office 2008 for Mac.

Végezetül a VBScriptben és a JScriptben (illetve ezek scriptelő motorjában) is felfedeztek egy hibát, amely talán a legérdekesebb az összes, augusztusban nyilvánossá vált biztonsági rés közül. Mégpedig azért, mert a Windows Messengerbe (4.7-es és 5.1-es verzió) bejelentkezett felhasználókat érinti – a támadó információt gyűjthet a csevegőkről, audió és videó beszélgetéseket kezdeményezhet a bejelentkezett felhasználó tudta nélkül, vagyis akár meg is figyelheti webkamerán keresztül áldozatát. Mindezt egy hibás ActiveX vezérlő miatt.