Вчера Microsoft была выпущена очередная серия ежемесячных обновлений. Всего корпорацией выпущено 11 обновлений, из которых 6 имеют статус критических, и 5 - важных. Обновления исправляют в общей сложности 17 отдельных ошибок в ПО Microsoft. Прошлый месяц был спокойнее для системных администраторов — тогда Microsoft выпустила всего два патча. Некоторые удивлены тем, что обновлений оказалось меньше, чем ожидалось. В прошлый четверг Microsoft предупредила, что она готовит поправку для критических ошибок VBScript и Jscript в Windows 2000, XP и Windows Server 2003. Среди патчей, выпущенных на этой неделе, данной поправки не оказалось, но во вторник компания не подтвердила, что она действительно исключила ее из-за того, что «она несет в себе риск для клиентов», как сказала представительница PR-агентства Microsoft. Самым важным на этот раз является обновление MS08-010, которое исправляет четыре ошибки в Internet Explorer. Все четыре уязвимости допускают дистанционное использование. Одна из них — это обнародованный баг ActiveX, влияющий на работу системы с СУБД Visual FoxPro. Хакеры уже опубликовали код, демонстрирующий, как использовать эту уязвимость; правда, элемент ActiveX с этой ошибкой не включен в список элементов управления Internet Explorer 7 по умолчанию, так что для большинства пользователей баг не опасен. Другой важный патч, MS08-007, исправляет критическую ошибку в ПО редиректора WebDAV Windows XP и Vista. WebDAV – это протокол обмена документами на базе веба. Ошибка квалифицируется как важная для пользователей Windows Server 2003. В этом месяце вышли важные поправки и для продуктов Microsoft Office. В частности, они исправляют критические багги в Microsoft Word, Office Publisher и самом Office. Есть и критическое обновление для ПО автоматизации Windows Object Linking and Embedding (OLE). Остальные обновления квалифицируются как важные и предназначены для Active Directory, стека Vista TCP/IP, преобразователя файлов Microsoft Works и двух багов в веб-сервере Internet Information Services (IIS). Как показывает этот «вторник патчей», баги в клиентском ПО остаются гораздо более опасными, чем уязвимости сервера. Казалось бы, уязвимости IIS и Active Directory должны считаться наиболее серьезными, так как это ПО размещается в центре ИТ-инфраструктуры предприятия и обеспечивает важнейшие службы. Однако хакерам гораздо легче организовать атаки с клиентской стороны.
Февральские бюллетени по безопасности от Microsoft