Microsoft заделала опасные дыры в Windows и Office
10 января корпорация Microsoft выпустила первую в новом году серию патчей для своих программных продуктов.
Как и сообщалось в предварительном уведомлении, дыры обнаружены в операционных системах Windows, а также в пакетах Microsoft Office и Exchange.
Уязвимость в Windows связана с особенностями обработки шрифтов, внедрённых в веб-страницы или электронные письма в формате HTML. Для реализации нападения злоумышленнику необходимо послать жертве сформированное особым образом сообщение по электронной почте или заманить пользователя на вредоносный сайт в интернете. Эксплуатируя дыры, нападающий теоретически может получить несанкционированный доступ к удаленному компьютеру и выполнить на нём произвольный вредоносный код. Брешь присутствует в Windows 2000, Windows ХР (в том числе 64-битной версии) и Windows Server 2003 (в том числе с первым пакетом обновлений).
Уязвимость в Microsoft Office и Exchange также может использоваться с целью захвата контроля над удаленным ПК. Проблема связана с ошибками, возникающими при обработке сообщений с применением протокола TNEF (Transport Neutral Encapsulation). Дыра представляет угрозу для пользователей Microsoft Office 2000/XP/2003 и Microsoft Exchange Server 5.0/5.5 и Exchange 2000 с третьим сервис-паком. Обе дыры получили статус критически опасных.
Между тем, в интернете появилась информация о двух новых дырах в Windows, связанных с обработкой графических файлов в формате WMF (Windows Metafile). Внеплановый патч для WMF-уязвимости был выпущен корпорацией Microsoft в начале января. Однако, как выясняется, проблема устранена не полностью. Впрочем, обнаруженные дыры позволяют спровоцировать только аварийное завершение работы приложения, а не выполнение вредоносного кода. Комментариев со стороны Microsoft по поводу новых уязвимостей пока не поступило.