Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Microsoft zapowiada opublikowanie comiesięcznych aktualizacji

Tagi:

Microsoft powiadomił o swoich planach udostępnienia pięciu biuletynów bezpieczeństwa w ramach comiesięcznego cyklu uaktualnień. Biuletyny, które zostaną opublikowane 11 kwietnia, mają zawierać poprawki dla systemu Microsoft Windows oraz programu Microsoft Office. W zbiorczym uaktualnieniu pojawi się również łata na szeroko nagłośnioną lukę w Internet Explorerze “CreateTextRange”, którą wielu specjalistów do spraw bezpieczeństwa ocenia jako krytyczną. Jakich luk będą dotyczyły pozostałe łaty – dokładnie nie wiadomo.

Od momentu pojawienia się informacji o luce w Internet Explorerze, wszyscy niecierpliwie czekają na opublikowanie łaty. Kilka tygodni temu, w przeciągu paru dni, zgłoszono kilka błędów w Internet Explorerze. Dwa z nich są krytyczne, co oznacza, że mogą zostać wykorzystane do wykonania dowolnego kodu na komputerze ofiary. Microsoft zapewniał, że pracuje na poprawkami nie wykluczając możliwości wypuszczenia łaty poza cyklem aktualizacji. Chociaż pojawiły się już zgłoszenia o atakach wykorzystujących tę lukę, na łatę trzeba będzie poczekać do opublikowania comiesięcznej aktualizacji zabezpieczeń. Ten okres braku ochrony spowodował, że niektóre firmy opublikowały własne łaty. Jednak Microsoft nie popiera instalowania takich łat.

Inna luka w Internet Explorerze umożliwia sfałszowanie adresu internetowego w pasku adresu okna IE i może zostać wykorzystana do oszustw typu phishing. Wcześniej phisherzy musieli liczyć na to, że użytkownik nie zauważy różnicy między prawdziwym a fałszywym adresem. Wykorzystując nową lukę oszust może spowodować, że użytkownikom ukaże się strona phishingowa z prawdziwym adresem. Secunia oceniła tę lukę jako “umiarkowanie krytyczną”. Z technicznego punktu widzenia jest to właściwa klasyfikacja, ponieważ luka nie pozwala na przejęcie kontroli nad komputerem ofiary. Jeśli jednak szybko nie pojawi się na nią łata, luka ta może poważnie zwiększyć zagrożenie związane phishingiem. Z drugiej strony występuje ona tylko podczas ładowania zawartości sieci oraz plików w formacie Macromedia Flash (.swf), co oznacza, że użytkownik może obejść problem wyłączając usługę Active Scripting w ustawieniach Internet Explorera. Microsoft zalecał takie rozwiązanie od momentu wykrycia poprzednich luk w marcu, dlatego użytkownicy, którzy zastosowali się do tej rady, mogą czuć się bezpiecznie.

Źródło:
Microsoft TechNet
Secunia
ZDNet