markasblog

Wczoraj mieliśmy drugi wtorek miesiąca, a więc Microsoft zgodnie ze swoim harmonogramem wydał kolejne biuletyny zabezpieczeń. W sumie jest ich 7, z czego 3 zostały oznaczone jako krytyczne, a cztery jako ważne. 5 z biuletynów rozwiązuje problem z możliwością zdalnego wykonania kodu, a 2 pozostałe eliminują problem z możliwością podniesienia uprawnień. Poniżej krótki opis każdego z biuletynów.

MS12-029 (krytyczny) – dotyczy luki w zabezpieczeniach programu Microsoft Word umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku RTF.

MS12-034 (krytyczny) – dotyczy zbiorczej aktualizacji zabezpieczeń dla pakietu Microsoft Office, systemu Windows, systemu .NET Framework i programu Silverlight; buletyn eliminuje 3 luki w zabezpieczeniach, z których każda pozwala na zdalne wykonanie kodu z użyciem odpowiednio spreparowanego dokumentu lub złośliwej strony internetowej zawierającej osadzone pliki czcionek TrueType.

MS12-035 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework umożliwiającej zdalne wykonanie kodu z wykorzystaniem specjalnie spreparowanej strony internetowej uruchomionej w przeglądarce obsługującej aplikacje XAML (XBAP).

MS12-030 (ważny) – dotyczy luki w zabezpieczeniach pakietu Microsoft Office umożliwiającej zdalne wykonanie kodu z użyciem specjalnie spreparowanego pliku pakietu Office.

MS12-031 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft Visio Viewer 2010 umożliwiającej zdalne wykonanie kodu z użyciem specjalnie spreparowanego pliku programu Visio.

MS12-032 (ważny) – dotyczy luki w zabezpieczeniach stosu TCP/IP umożliwiającej podniesienie uprawnień z użyciem specjalnie spreparowanej aplikacji uruchomionej przez użytkownika zalogowanego do systemu.

MS12-033 (ważny) – dotyczy luki w zabezpieczeniach Menedżera partycji systemu Windows umożliwiającej podniesienie uprawnień dzięki odpowiednio spreparowanej aplikacji uruchomionej przez osobę posiadającą prawidłowe poświadczenia logowania oraz mającą możliwość zalogowania się do systemu lokalnie.

Dwa dni temu Microsoft opublikował kwietniowe biuletyny zabezpieczeń dla swoich produktów. Tym razem mamy sześć biuletynów, z czego 4 zostały oznaczone jako krytyczne, a 2 jako ważne. Poniżej zamieszczam krótki opis każdej z poprawek.

MS12-023 (krytyczny) – dotyczy zbiorczej aktualizacji przeglądarki Internet Explorer eliminującej 5 luk w zabezpieczeniach, z których każda umożliwiała zdalne wykonanie kodu

MS12-024 (krytyczny) – dotyczy luki w zabezpieczeniach systemu Windows pozwalającej na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku wykonywalnego

MS12-025 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework pozwalającej na zdalne wykonanie kodu  z wykorzystaniem odpowiednio spreparowanej strony internetowej uruchomionej w przeglądarce obsługującej aplikacje XAML

MS12-027 (krytyczny) – dotyczy luki w zabezpieczeniach formatów standardowych systemu Windows umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanej strony internetowej

MS12-026 (ważny) – dotyczy luki w zabezpieczeniach programu Forefront Inified Access Gateway (UAG) umożliwiającej ujawnienie informacji z wykorzystaniem specjalnie spreparowanej kwerendy wysłanej do serwera UAG

MS12-028 (ważny) – dotyczy luki w zabezpieczeniach pakietu Microsoft Office umożliwiającej zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku pakietu Works.

Kwiecień przyniósł nam aktualizacje o wysokim priorytecie instalacji. Aż cztery z sześciu wydanych biuletynów eliminują podatności systemu na zdalne wykonanie kodu.

Microsoft opublikował informację o przesunięciu systemu Windows Vista oraz Office 2007 z głównego systemu wsparcia do systemu rozszerzonego. Office 2007 już w dniu dzisiejszym został odłączony od podstawowego wsparcia, a Vista opuści ten kanał jutro. Oznacza to ni mniej ni więcej, że poczynając od 10 kwietnia, Microsoft będzie publikował tylko i wyłącznie łaty bezpieczeństwa dla wszystkich użytkowników, a aktualizacje poprawiające stabilność będą dostępne dla organów, które mają podpisane odpowiednie umowy z firmą Microsoft.

Należy pamiętać, że kilka tygodni temu Microsoft podjął decyzję o skróceniu okresu wparcia technicznego w jego rozszerzonej wersji dla systemów konsumenckich (niekorporacyjnych) do 5 lat. Ma to przyspieszyć zainteresowanie klientów niekorporacyjnych nowymi systemami wydawanymi przez Microsoft. Tylko wersje biznesowe oprogramowania będą wspierane jak dotychczas, czyli przez 10 lat. Zgodnie z nowymi założeniami aktualizacje zabezpieczeń dla wspomnianego oprogramowania będą dostarczane do połowy kwietnia 2017 roku.

Ostatnia duża aktualizacja dla Windows Vista i Office 2007 miała miejsce odpowiednio w maju 2009 (Service Pack 2) oraz w październiku 2011 (Service Pack 3).

Czas wsparcia technicznego dla kolejnych edycji systemów, niezależnie od pochodzenia kiedyś musi dobiec końca. Wydawcy oprogramowania, aby zaspokoić oczekiwania klientów, muszą iść naprzód, a wspieranie starych wersji oprogramowania jest czynnikiem hamującym rozwój. Każdy z użytkowników, bez względu czy korzysta z produktu biznesowego, czy takiego kierowanego do użytkownika domowego prędzej czy później stanie przez decyzją o zmianie środowiska pracy na nowsze (oczywiście nie zawsze lepsze). O ile użytkownik prywatny nie ponosi zbyt wiele kosztów związanych ze zmianą systemu operacyjnego, czy pakietu biurowego, o tyle klient korporacyjny zawsze będzie ponosił wysokie koszty finansowe zmian związanych po pierwsze z zakupem często nowego sprzętu, który pozwoli na uruchomienie nowego środowiska, ale przede wszystkim z kosztami poniesionymi na szkolenie pracowników. Z drugiej strony firmy, które nie mają w zwyczaju inwestować w kapitał ludzki, prędzej czy później zrozumieją, że czas zmienić te zwyczaje.

Marzec, drugi wtorek miesiąca już za nami, więc pewnie już zaktualizowaliście swoje systemy o marcowe biuletyny zabezpieczeń od Microsoftu. W tym miesiącu biuletynów jest 6, z czego jeden został oznaczony jako krytyczny, 5 jako ważne, a jeden jako umiarkowany. Wszystkie biuletyny usuwają w sumie 7 luk w zabezpieczeniach systemów Windows. Poniżej skrócony opis każdego z biuletynów

MS12-020 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach pulpitu zdalnego umożliwiających zdalne wykonanie kodu dzięki specjalnie spreparowanym pakietom RDP (Remote Desktop Protocol)

MS12-017 (ważny) – dotyczy luki w zabezpieczeniach serwera DNS umożliwiającej przeprowadzenie ataku DoS z użyciem odpowiednio spreparowanej kwerendy DNS

MS12-018 (ważny) – dotyczy luki w zabezpieczeniach sterowników trybu jądra systemu Windows umożliwiającej podniesienie uprawnień dzięki specjalnie spreparowanej aplikacji (osoba atakująca musi być w stanie zalogować lokalnie na atakowanej maszynie)

MS12-021 (ważny) – dotyczy luki w zabezpieczeniach programu Visual Studio umożliwiającej podniesienie uprawnień dzięki specjalnie przygotowanemu dodatkowi (osoba atakująca musi być w stanie zalogować lokalnie na atakowanej maszynie)

MS12-022 (ważny) – dotyczy luki w zabezpieczeniach programu Expression Design umożliwiającej zdalne wykonanie kodu dzięki odpowiednio spreparowanemu plikowi, który z kolei mógłby próbować załadować bibliotekę DLL, w której może znajdować się odpowiednio spreparowany kod.

MS12-019 (umiarkowany) – dotyczy luki w zabezpieczeniach programu DirectWrite umożliwiającej przeprowadzenie ataku typu DoS dzięki specjalnie spreparowanej wiadomości błyskawicznej, w której znajdzie się odpowiednia sekwencja znaków Unicode.

Po więcej szczegółów odsyłam do źródła.

Miesiące w tym roku upływają w zastraszającym tempie. Niedawno mieliśmy styczniowe biuletyny bezpieczeństwa, teraz przyszedł czas na lutową edycję łat bezpieczeństwa do Microsoftu. Dwa dni temu ujrzało światło dzienne 9 łat dla produktów Microsoftu, które łatają 21 błędów. 4 z tych biuletynów otrzymały najwyższy – krytyczny – stopień ważności, a pozostałe 5, oznaczono jako ważne.

MS12-008 (krytyczny) – dotyczy luki w zabezpieczeniach sterowników jądra systemu Windows umożliwiającej zdalne wykonanie kodu

MS12-010 (krytyczny) – zbiorcza aktualizacja zabezpieczeń dla programu Internet Explorer, która między innymi eliminuje możliwość zdalnego wykonania kodu

MS12-013 (krytyczny) – dotyczy luki w zabezpieczeniach biblioteki wykonawczej dla języka C umożliwiającej zdalne wykonanie kodu

MS12-016 (krytyczny) – dotyczy luki w zabezpieczeniach systemu .NET Framework i programu Microsoft Silverlight umożliwiającej zdalne wykonanie kodu

MS12-011 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft SharePoint umożliwiającej podniesienie poziomu uprawnień

MS12-012 (ważny) – dotyczy luki w zabezpieczeniach apletu Panel sterowania kolorami umożliwiającej zdalne wykonanie kodu

MS12-014 (ważny) – dotyczy luki w zabezpieczeniach kodera-dekodera Indeo umożliwiającej zdalne wykonanie kodu

MS12-015 (ważny) – dotyczy luki w zabezpieczeniach programu Microsoft Visio Viewer 2010 umożliwiającej zdalne wykonanie kodu

Aktualizacja jest wysoce zalecana.

Wczoraj mieliśmy drugi wtorek miesiąca, więc posiadacze systemów operacyjnych ze stajni Microsoftu ujrzeli nowe biuletyny bezpieczeństwa. Tym razem wydano 7 biuletynów z czego jeden został oznaczony jako krytyczny, a pozostałe jako ważne. Dla przypomnienia, w zeszłym miesiącu Microsoft wydał 14 biuletynów bezpieczeństwa. Poniżej zamieszczam skrócony opis każdego ze styczniowych biuletynów.

MS12-004 (krytyczny) – dotyczy dwóch luk w zabezpieczeniach formatu Windows Media, które umożliwiają wykonanie zdalnego kodu

MS12-001 (ważny) – dotyczy luki w zabezpieczeniach jądra systemu Windows, która umożliwia obejście funkcji zabezpieczeń

MS12-002 (ważny) – dotyczy luki w zabezpieczeniach programu Pakowarka obiektów systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-003 (ważny) – dotyczy luki w zabezpieczeniach Podsystemu wykonawczego serwera/klienta w systemie Windows, która umożliwia podniesienie uprawnień

MS12-005 (ważny) – dotyczy luki w zabezpieczeniach systemu Windows, która umożliwia zdalne wykonanie kodu

MS12-006 (ważny) – dotyczy luki w zabezpieczeniach protokołu SSL/TLS, która umożliwia ujawnienie informacji

MS12-007 (ważny) – dotyczy luki w zabezpieczeniach biblioteki AntiXSS, która umożliwia ujawnienie informacji

Zachęcam do aktualizacji systemów.

W tym tygodniu Microsoft opublikował bezpłatną platformę IIS zoptymalizowaną z myślą o deweloperach. Wersja oznaczona jako IIS Express 7.5 ma wbudowany upgrade bazy danych oraz została wyposażona w narzędzie zarządzania zawartością wydaną na licencji open source.

IIS Express 7.5 umożliwia pracę zarówno z ASP.Net Web Forms, jak i ASP.Net MVC. Cała paczka waży niespełna 5MB i nie wymaga konta administratora do uruchomienia lub debugowania aplikacji z Visual Studio. Produkt oferuje pełen zestaw funkcji serwera Web, w tym SSL, URL Rewrite i inne moduły znane z gałęzi 7.x.

IIS Express 7.5 może być zainstalowany obok pełnej wersji serwera IIS oraz ASP.NetServer Development i działa na systemach operacyjnych poczynając od Windowsa XP, a kończąc na Windows 7.

W tym tygodniu Microsoft udostępnił użytkownikom również ASP.Net MVC 3 oraz narzędzie deweloperskie WebMatrix. To nie koniec. Ten tydzień przyniósł również kolejną edycję wbudowanego silnika bazodanowego oznaczonego jako SQL Server Compact Edition 4, którą Microsoft udostępnia za darmo. SQL Server Comapct Edition 4 jest w pełni kompatybilne z API .Net i obsługuje kompatybilną z SQL Server składnie zapytań.

Również w tym tygodniu ujrzał światło dzienne Microsoft Orchard 1.0. który umożliwia zarządzanie systemem blogów oraz zarządzaniem treścią na stronach internetowych bez konieczności znania kogu.

Jak widać Microsoft prężnie działa nie tylko na gruncie systemów operacyjnych, ale chce również dorzuca coś od siebie w dziedzinie technologii internetowych. I dobrze. Konkurencja na każdej płaszczyźnie jest wskazana.

Tradycyjnie już, w każdy drugi wtorek miesiąca Microsoft publikuje biuletyny zabezpieczeń. Tym razem gigant z Redmond wydał 11 poprawek, z których 5 oznaczono jako krytyczne, kolejne 5 zyskało status ważnych, a 11 określono jako średnio ważną. Poniżej krótki opis każdego z biuletynów.

MS10-019 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Authenticode Verification, pozwalającej na zdalne wykonanie kodu

MS10-020 (krytyczny) – dotyczy luki w zabezpieczeniach w kliencie SMB, pozwalającej na zdalne wykonanie kodu

MS10-025 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Services uruchomionym na systemie Microsoft Windows 2000 Server, pozwalającej na zdalne wykonanie kodu

MS10-026 (krytyczny) – dotyczy luki w zabezpieczeniach w kodekach audio dostarczanych przez Microsoft (Microsoft MPEG Layer-3), pozwalającej na zdalne wykonanie kodu

MS10-027 (krytyczny) – dotyczy luki w zabezpieczeniach w Windows Media Player, pozwalającej na zdalne wykonanie kodu

MS10-021 (ważny) – dotyczy luki w zabezpieczeniach w jądrze systemu Microsoft Windows pozwalającej na podniesienie uprawnień za pośrednictwem odpowiednio przygotowanego kodu

MS10-022 (ważny) – dotyczy luki w zabezpieczeniach w VBScript w systemie Microsoft Windows, pozwalającej na zdalne wykonanie kodu

MS10-023 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Publisher, pozwalającej na zdalne wykonanie kodu

MS10-024 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Exchange i Windows SMTP Service, pozwalającej na przeprowadzenie ataku DoS

MS10-028 (ważny) – dotyczy luki w zabezpieczeniach w Microsoft Office Visio, pozwalającej na zdalne wykonanie kodu

MS10-029 (średni ważny) – dotyczy luki w zabezpieczeniach w pakiecie ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) pozwalającej na spoofing.

Pozostaje nam zaktualizować nasze Windowsy i czekać cierpliwie na kolejne biuletyny, które zostaną wydane 11 maja.

Marzec jest miesiącem ubogim jeżeli chodzi o wydane biuletyny zabezpieczeń przez Microsoft. Poniżej opis biuletynów:

MS10-016 (ważny) – dotyczy luki w zabezpieczeniach w programie Windows Movie Maker i Microsoft Producer 2003, pozwalającej na zdalne wykonanie kodu. Problem dotyczy w szczególności systemów Windows XP i Windows Vista, ponieważ na tych systemach program Windows Movie Maker jest instalowany wraz z systemem. Na systemie Windows 7 program jest instalowany opcjonalnie i w większości przypadków problem tej edycji systemu Windows nie dotyczy.

MS10-017 (ważny) – biuletyn rozwiązuje siedem problemów bezpieczeństwa w programie Microsoft Office Excel, pozwalających na zdalne wykonanie kodu z wykorzystaniem odpowiednio spreparowanego pliku. Problem dotyczy przede wszystkim: Microsoft Office Excel 2002, Microsoft Office Excel 2003, Microsoft Office Excel 2007, Microsoft Office 2004 for Mac, and Microsoft Office 2008 for Mac, Open XML File Format Converter for Mac oraz wszystkich wspieranych wersji Microsoft Office Excel Viewer i  Microsoft Office Compatibility Pack.

Essential Business Server był propozycją dla firm małej wielkości, w których pracowało do 300 stacji roboczych. W skład EBS wchodzi Windows Server 2008, System Center Essentials 2007, Exchange Server 2007, Forefront Threat Management Gateway, Forefront Security for Exchange, Windows Server Update Services 3.0 oraz Windows SharePoint Services 3.0 dla wersji Standard, a dodatkowo dla wersji Premium: SQL Server 2008 Standard Edition. Całe środowisko opiera się na trzech serwerach dla edycji Standard oraz na czterech serwerach dla edycji Premium (dodatkowy serwer jest odpowiedzialny za obsługę baz danych).

Microsoft podjął w dniu dzisiejszym decyzję, 0 zawieszeniu dalszych prac nad rozwojem EBS z zastrzegając, że pakiet EBS 2008 będzie wciąż sprzedawany, aż do momentu wygaśnięcia wsparcia dla jego poszczególnych składników.

Swoją decyzję Microsoft argumentuje tym, że wiele małych i średnich firm zwróciło się w kierunku zarządzania, wirtualizacji oraz przetwarzania danych cloud computing, dostrzegając w takim modelu możliwość zwiększenia oszczędności, efektywności oraz konkurencyjności.

Klienci, którzy będą zainteresowani przedłużaniem licencji dla poszczególnych części składowych produktu, będą mogli to zrobić za darmo pomiędzy 30 czerwca i 31 grudnia 2010.