Comiesięczna łata Microsoftu

Microsoft opublikował comiesięczne łaty bezpieczeństwa i tym razem nie obyło się bez niespodzianek. Podczas gdy w ostatnich miesiącach pakiet zawierał łaty na liczne luki, również te krytyczne, tym razem firma opublikowała tylko jedną poprawkę. Jedyna łata wyznaczona na listopad dotyczy luki w serwerze ISA (Internet Security and Acceleration Server). Oprogramowanie to działa jak zapora ogniowa, filtr zawartości i bufor WWW; jako składnik Microsoft's Small Business Server Package serwer ten często stosowany jest przez małe firmy.

Serwer może przechowywać w buforze zawartość sieci WWW, znacznie przyspieszając dostęp do często odwiedzanych stron. Gdy strona jest odwiedzana wielokrotnie, duże pliki i grafiki pobierane są z bufora serwera. Dziura pozwala użytkownikowi na umieszczenie w buforze fałszywej zawartości. Gdy inny pracownik odwiedzi tę stronę, dostarczona zostanie mu fałszywa zawartość, która będzie wyglądała jak prawdziwa. Użytkownicy mogą zostać poproszeni o podanie poufnych informacji, takich jak szczegóły dotyczące bankowości.

Opublikowany wczoraj Security Bulletin MS04-039 zawierał następujący komentarz Microsoftu: "Użytkownicy mogą sądzić, że uzyskali dostęp do wiarygodnej zawartości Internetu, podczas gdy w rzeczywistości wyświetlają się dokumenty o szkodliwej zawartości". Luka ta uznawana jest za istotną - drugą pod względem ważności - i odnosi się do Microsoft ISA Server 2000, natomiast nie odnosi się do Microsoft Proxy Server 2.0. Microsoft ISA Server 2004. Administratorom zaleca się pobranie i jak najszybsze zainstalowanie łat.

Źródło:
Microsoft