Explorer-megapäivitys tukkii 3 nollapäivähyökkäystä
0
Microsoftin huhtikuun tietoturvapäivityksiin kuuluu todellinen megapäivitys Explorer-selaimelle, joka korjaa kymmenen turva-aukkoa, josta seitsemän kriittisiä. Symantecin tietojen mukaan CreateTexRange-haavoittuvuuden lisäksi kahta muutakin on jo käytetty hyökkäyksiin, joten päivitykset ovat poikkeuksellisen tärkeitä. Explorer-aukkojen lisäksi julkaistiin neljä muutakin erillistä turvapäivityspakettia.
Microsoft kehottaa asentamaan uudet turvapäivitykset heti, mieluiten Windowsin automaattisten päivitysten avulla. Näin varsinkin siksi, että yksi Explorer-korjauksista paikkaa kohutun CreateTexRange-haavoittuvuuden, jota vastaan on hyökätty jo pari viikkoa.
Kolmet nollapäivähyökkäykset kuriin
Microsoftin mukaan sillä ei ole tietoa muista hyökkäyksistä, mutta Symantec on eri mieltä. Yhtiö on nähnyt hyökkäyksiä kahteen muuhunkin paikkaamattomaan aukkoon, kertoo uutispalvelu Cnet. Jos tämä pitää paikkansa, korjaa nyt julkaistu päivitys kokonaista kolme nollapäivähyökkäyksiin käytettyä aukkoa.
Explorer-aukkojen (MS06-13) lisäksi myös Windowsista paikattiin kaksi kriittistä aukkoa. Molemmat reiät koskevat melkeinpä kaikkia käytössä olevia Windows versioita. Ensimmäinen liittyy Windowsin mdac-tietokantatekniikkaan (MS06-14) ja toinen ongelma (MS06-15) löydettiin Windows Explorer -tiedostokäyttöliittymästä.
Harvinaisen paljon kriittisiä aukkoja
Explorer- ja Windows-aukot muodostavat yhdessä selvän uhan. Niistä ei ilmeisesti voi tehdä verkkomatoja. Jos käyttäjä saadaan houkutella hyökkääjän web-sivuille, uusien aukkojen kautta kone voitaisiin saada täysin hyökkääjän hallintaan. Tällä kertaa tähän on tarjolla noin kymmenen erilaista kriittistä Explorer- tai Windows-aukkoa, joten niiden käyttämisen uhka on melkoinen.
Kaksi viimeistä korjausta eivät ole niin vakavia. Toinen (MS06-16) liittyy Outlook Express -sähköpostiohjelmaan, ja aukon luokitus on tärkeä. Viimeinen (MS06-17) liittyy Frontpage-julkaisuohjelmaan ja sen uhkaluokitus on vain keskitasoa.
