Microsoft punnersi turvallisempaa koodia
12
Microsoftin tiistai-iltana julkaisemat yksitoista päivitystä korjaavat 25 haavoittuvuutta lukuisista yhtiön tuotteista.
Viisi päivitystä on luokiteltu kriittisiksi, Viestintäviraston Cert-fi-yksikkö kertoo. MS10-019 puuttuu ongelmaan, joka mahdollistaa tietokoneen kaappaamisen esimerkiksi allekirjoitetun cab-tiedoston avulla.
Toinen kriittinen päivitys MS10-020 korjaa marraskuussa paljastetun palvelunestoaukon Windows 7:n ja Windows Server 2008 R2:n smb-toteutuksessa. Samalla sai kyytiä useampikin smb-haavoittuvuus, jotka voivat pahimmillaan johtaa hyökkäyskoodin ajamiseen tietokoneessa.
Kriittinen päivitys MS10-025 poistaa ylivuotohaavoittuvuuden Windows Server 2000:aan asennetussa Windows Media Services -palvelussa. Palvelua ei ole asennettu oletuksena.
Media-aukoilla jatketaan, sillä kriittiset MS10-026 ja MS-027 koskevat ääntä ja kuvaa. Ensimmäinen päivitys paikkaa äänikoodekkia, kun taas jälkimmäinen siivoaa aukon Windows Media Player 9 -mediasoittimen activex-kontrollissa.
Media Player -haavoittuvuuden avulla hyökkääjän on mahdollista tunkeutua koneelle haitallisen videotiedoston avulla.
Tietoturvapiireissä on kutina, että 026 ja 027 olisivat koko huhtikuun paketin kiireellisimmät paikkaukset.
Sähköpostien katkelmat
ongittavissa
Microsoftin tärkeiksi luokittelemat päivitykset koskevat muun muassa Windowsin ydintä, VBScrip-komentokieltä, Publisher-julkaisusoftaa ja Officen Visio-kuvitustyökalua.
Windows SMTP -sähköpostipalvelun haavoittuvuuden avulla voi lukea palvelimelle tallennettujen sähköpostien katkelmia tietyllä tavalla muotoiltujen komentojen avulla.
Tärkeisiin päivityksiin lukeutuu myös VBScrip-komentokielen korjaus. Kyseessä on Internet Explorer -selaimesta paljastunut haavoittuvuus, jota voidaan hyödyntää F1-näppäimen avulla. Yksi tietoturvapäivitys sai alemman luokituksen kohtalainen. MS10-029 korjaa haavoittuvuuden Windowsin isatap-komponentissa. Hyökkääjän on mahdollista väärentää ipv4-osoite ja ohittaa sen avulla turvallisuusominaisuuksia.
Microsoftin lisäksi suuret ohjelmistovalmistajat Oracle ja Adobe julkaisivat myös tietoturvapäivityksiä tuotteisiinsa.
Kommentit (12)
Kävikö mielessä, että Microsoftilla on aika monta versiota käyttöjärjestelmistä ja muutakin ohjelmistoa joissa käytetään samaa numerointia? Bugeja voi siis yllättävää kyllä löytyä enemmän kuin kaksinumeroinen luku korjattavaksi
Viimeiksi kun katsoin niin tukilistalla oli yli tuhat ohjelmaa ja siinä kohtaa lopetin laskemisen. Eli kyllä kolme numeroa on ihan perusteltu valinta.
Ken haluaa listaa selata niin se löytyy:
support . microsoft . com / gp / lifeselectindex
Ehkä se määrä mitä eri softia Microsoftilla on tuppaa joskus hämärtymään kun puhutaan korjausten määrästä. On tuota softaakin pelkkänä listana metritolkulla.
Joillakin lienee vaikeuksia ymmärtää sarkasmia ja mittasuhteita :) Ei taida M$:n tapauksessa kolme numeroa riittää...
Minä menen nyt punnertamaan kakat tuonne pönttöön ja postponetan päivitysten vaatimaa boottia muutaman tunnin eteenpäin.