ZDROJ: www.securityworld.cz
Příští úterý zveřejní Microsoft šest významných updatů pro svůj klíčový software. Čtyři z nich představují podle ratingu výrobce nejvyšší pozornost – jsou označeny jako kritické. Další dva mají rating „important".
Pět z uvedených šesti přitom opravují chyby, které mohou být podle Microsoftu zneužity hackery ke kompromitaci uživatelova PC a k rozesetí spousty malwaru.
Opravy se týkají těchto řešení: Windows, Internet Explorer, Office, SQL Server a také platforma VPN (virtual private networking).
„Úplně na vrcholu závažnosti je podle všeho Bulletin 4, který zahrnuje úplně vše," říká Andrew Storms, šéf bezpečnostních operací ve firmě nCircle Security. „Naprostá většina bulletinů Microsoftu se týká třeba vývojářských nástrojů, serverů, aplikace Office apod. Teď jde doslova o pohromu, která má vliv na všechnen software."
Bulletin 4 zasahuje podle dubnového prohlášení Microsoftu Office 2003 až 2010 na Windows, SQL Server 2000 až 2008 R2, BizTalk Server 2002, Commerce Server 2002 až 2009 R2, Visual FoxPro 8 a Visual Basic 6 Runtime. „To je obrovské množství produktů," myslí si Storms.
Administrátoři s tímto patchem stráví opravdu obrovské množství práce, protože musí před nasazením do provozního prostředí provést spoustu interních testů, zda jim oprava nebude dělat nějaké problémy, dodává Storms.
„Bulletin 4 je určitě výzvou kvůli množství zasažených aplikací," tvrdí Wolfgang Kandek, CTO ve firmě Qualys a podobně se vyjádřil i Marcus Carey ze společnosti Rapid7.
Ačkoli Micrsoft neupřesnil, co přesně Bulletin 4 opravuje, Storms spekuluje o tom, že by mohlo jít o Microsoft Data Access Components (MDAC), sadu komponent, které Windows umožňují přistupovat do různých databází jako je třeba SQL Server. Tento set byl přitom updatován už v lednu 2011 – tehdy šlo o část MDAC ActiveX dovolující přístup do databáze přímo z browseru IE.
Také další komponenta, "Dedicated Administrator Connection" (DAC), by mohla máít potíže a je rovněž spojena s SQL Serverem. Správcům umožňuje spouštět instanci SQL Server Database Engine pro potřeby troubleshootingu, pokud server neodpovídá.
Někteří experti si ale myslí, že je lepší primárně se zaměřit na Bulletin 1, který opravuje Internet Explorer. Například Kandek tvrdí, že kritickou chybou jsou zasaženy všechny verze IE – od historického IE6 až po IE9 na Windows XP, Vista a Windows 7.