Óvakodjunk a digitális képektől!

Tegnap kiadta szokásos javításait a Microsoft, hiszen az volt a hónap második keddje. Legfontosabb biztonsági frissítésként (958690) egy olyan, kritikus minősítést kapott sérülékenységet szüntettek meg a redmondiak a Windows-ban, mely révén egy támadó képes lehetett távolról átvenni a célpontként kiszemelt rendszer feletti ellenőrzést. Ehhez nem kellett mást tennie, csak rávennie a gyanútlan felhasználót egy ártó szándékkal megalkotott (Enhanced MetaFile (EMF) vagy Windows MetaFile (WMF) formátumú) képfile megnyitására.

Ha nem ismerős a formátum, akkor sem szabad megnyugodni, hogy ilyen képet biztosan nem nyitottunk volna meg – a .emf és .wmf állományok pár másodperc alatt átnevezhetők populárisabb formátumra, például .jpg-re. És még ha ettől nem is válnak JPEG képpé, nagyobb sikerrel érik el, hogy a felhasználó kattintson.

Két további biztonsági rés került kiiktatásra a microsoftos szoftverekből. Mindkettő fontos besorolású, így habár azonnali veszélyt nem jelentenek, érdemes az ezekhez tartozó patch-eket (960225 és 962238) is telepíteni. Az egyik a Windows DNS szerverének és a WINS (Windows Internet Name Server) hibáját használta ki, melynek révén a támadó képessé vált átirányítani a hálózati forgalmat, így a megtámadott felhasználó nem biztonságos oldalon találhatja magát, ha áldozatul esik egy ilyen támadási kísérletnek. A másik update a Windows összes, még támogatott változatát érinti; ez az operációs rendszer Secure Channel funkciójában rejlő sérülékenységet szünteti meg.

Ismeretes, hogy az elmúlt hónapban egy nagyon súlyos Excel hibára derült fény; ám ennek javítása sajnos nem történt még meg, így patch-et sem tudunk telepíteni a táblázatkezelő szoftver biztonsági résére.