Microsoft в очередной раз "обрадовала" пользователей своих операционных систем выходом целой пачки обновлений, выпустив октябрьскую серию заплаток вчера. На этот раз количество обновлений просто впечатляет - 10 (!) штук. Причём 7 из них носят критический характер, а 3 - важный (important). Уязвимости оказались подвергнуты практически все версии выпускаемых ОС (пожалуй, не упоминается только Windows 95 и Windows 3.11 ;)). Итак выпущены бююлетени по безопасности с MS03-029 по MS04-038 (заметьте - за прошедшие 9 месяцев выпущены 28 бюлетеней). Подобный "стахановский" подход можно объяснить либо абсолютной дырявостью "ОС для домохозяек", либо наконец-то изменившимся подходом M$ к обнаружению уязвимостей в своих ОС. Вот только уязвимости (как показывает практика) почему-то обнаруживаются сторонними компаниями (той же NGSSoftware, например). Итак, по порядку. Критические обновления:
- обновление для Windows, включающее исправление удаленного исполнения кода, двух способов повышения привилегий и одну потенциальную DoS-атаку.
- исправление удаленного исполнения кода в Excel.
- исправление ошибки в обработке сжатых папок, приводящей к удаленному исполнению кода.
- исправление SMTP-компонента и Exchange Server Routing Engine, допускающих удаленное исполнение кода.
- устранение аналогичной проблемы в NNTP-компоненте.
- исправление ошибок в Windows Shell (в процедуре запуска приложений и конверторе программных групп), приводящих опять-таки к удаленному исполнению кода.
- кумулятивное обновление для IE, исправляющее 5 ошибок, приводящих к удаленному исполнению кода и 3 - к утечке информации.
Исправления со статусом важных:
- утечка информации и DoS из-за уязвимости в RPC Runtime Library.
- DoS в WebDav XML Message Handler.
- удаленное исполнение кода с помощью уязвимости в службе NetDDE.
Радует то, что Windows XP SP2 упоминается только в одном обновлении - MS04-038, котрое касается кумулятивного обновления в браузере IE. Теперь остаётся ждать подробных описаний от авторов обнаруженных уязвимостей.
Октябрьские обновления от M$