Majowe biuletyny zabezpieczeń Microsoftu
Microsoft w maju wydał 2 biuletyny zabezpieczeń, oba oznaczone jako krytyczne.
12.05.2010 01:39
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Biuletyn MS10-030 dotyczy programów Outlook Express, Windows Mail i Windows Live Mail. Luka w wykorzystywanej przez nie bibliotece inetcomm.dll pozwala wykonać dowolny kod na komputerze ofiary w momencie odebrania odpowiednio spreparowanej odpowiedzi od serwera POP3 lub IMAP. Atakujący musi w tym celu wykonać atak man-in-the-middle lub też nakłonić użytkownika do połączenia z jego serwerem. Kod wykonywany jest z uprawnieniami użytkownika, który uruchomił dany program pocztowy. Microsoft oznaczył poziom zagrożenia jako ważny w przypadku programu Windows Live Mail na wszystkich systemach oraz Windows Mail na Windows 7. Nie wynika to jednak z mniejszego zagrożenia a z faktu, że programy te nie są częścią tych systemów i muszą być instalowane oddzielnie. Warto przy tym zauważyć, że w biuletynie Microsoft określa te przypadki mianem out-of-box, czyli odwrotnie do normalnie przyjętej definicji, oznaczającej komponent instalowany domyślnie.
Drugi biuletyn, oznaczony jako MS10-031, dotyczy środowiska Visual Basic for Applications (VBA) w Office XP, 2003 i 2007. Podatność na przepełnienie bufora w funkcji wyszukującej kontrolki ActiveX osadzone w dokumencie pozwala na wykonanie dowolnego kodu z uprawnieniami zalogowanego użytkownika. Poprawka aktualizuje plik vbe6.dll instalowany wraz z Microsoft Office. Jeśli był on instalowany przez inne aplikacje i znajduje się w innym miejscu na dysku, nie zostanie zaktualizowany. Microsoft informuje też, że instalacja poprawki na Office 2007 z SP1 spowoduje też załatanie dziur łatanych przez dodatek SP2.