Microsoft a terveinek megfelelően összesen hét biztonsági közleményt tett elérhetővé, amelyekhez kritikus veszélyességű sebezhetőségeket megszüntető hibajavítások tartoznak.
A Microsoft a múlt héten publikált előzetes közleményének megfelelően adta ki a május havi frissítéseit. Ezek egy jelentős része az Office szoftvercsomaghoz tartozik, és olyan hibákat szüntet meg, amelyek speciálisan szerkesztett Word, illetve Excel állományok révén használhatók ki. Az Office mellett az Internet Explorerhez is jelent meg néhány hibajavítás. A cég az Exchange és a BizTalk Server termékeihez is elérhetővé tett egy-egy frissítést.
A Microsoft a május havi biztonsági hibajavításai révén megszüntette a néhány hete napvilágra került, Windows DNS Server szolgáltatásban rejlő sérülékenységet. A cég az összes biztonsági közleményét kritikus veszélyességi besorolással látta el, ami egyben azt is jelenti, hogy az azokban ismertetett hibák komoly károkhoz vezethetnek. A Microsoft a hibajavítások mielőbbi telepítését javasolja.
A Microsoft az alábbi biztonsági közleményekben számolt be a májusi hibajavításairól:
MS07-023
A biztonsági közlemény összesen három sebezhetőségről ad tájékoztatást, amelyek mindegyike az Excel táblázatkezelő szoftverben található. A sérülékenységek speciálisan szerkesztett Excel állományokkal használhatók ki. A hibák révén a támadóknak lehetőségük van kártékony kódok jogosulatlan távoli futtatására. A Microsoft szerint a sebezhetőségek az Excel 2000 esetében jelentik a legnagyobb kockázatot, de a hibák megtalálhatók az Excel 2002, az Excel 2003 és az Excel 2007 alkalmazásokban is. Ezek mellett az Excel 2003 Viewer is frissítésre szorul.
MS07-024
A közlemény tanúsága szerint a Word szövegszerkesztő ugyancsak javítást igényel, ugyanis a szoftver hasonló kockázatokat rejtő biztonsági hibákat tartalmaz, mint az Excel. A Microsoft a Word esetében is három sebezhetőséget szüntetett meg. Ezek mindegyike speciálisan összeállított Word állományok révén használható ki, és kártékony kódok jogosulatlan távoli futtatásához járulhatnak hozzá. Az egyik sérülékenység az RTF feldolgozást végző komponens hibájára vezethető vissza. A frissítésre a Word 2000, a Word 2002, a Word 2003 és a Word Viewer 2003 esetében is szükség van.
MS07-025
Ez a biztonsági közlemény is az Office-hoz kapcsolódik. A Microsoft szerint a szoftvercsomag egy olyan sebezhetőséget tartalmaz, amely különböző grafikus objektumok nem megfelelő kezelésére vezethető vissza. A sérülékenység kihasználásával a támadók átvehetik az érintett rendszerek feletti irányítást. A közleményből kiderül, hogy a sebezhetőség emailekhez csatolt, illetve weboldalakon elhelyezett Office állományok révén is okozhat problémákat. A biztonsági hiba az Office 2000, az Office XP, az Office 2003 valamint az Office 2007 egyes alkalmazásaiban is jelen van.
MS07-026
A Microsoft az Exchange szoftverei esetében összesen négy súlyos biztonsági hibát szüntetett meg. Ezek olyan népszerű komponenseket, illetve szolgáltatásokat érintenek, mint például az Outlook Web Access (OWA), a MIME dekódolás, az iCal kezelés valamint az IMAP parancsok feldolgozása. A sebezhetőségek kihasználásával a támadók teljes mértékben átvehetik a sérülékeny rendszerek feletti irányítást. A Microsoft szerint a biztonsági hibákat az Exchange 2000 Server, az Exchange Server 2003 valamint az Exchange Server 2007 termékek tartalmazzák.
MS07-027
A májusi hibajavítások az Internet Explorer webböngészőt is érintik. A Microsoft ugyanis a szoftverben összesen öt biztonsági rést foltozott be, amelyek többsége különböző memóriakezelési hibákra vezethető vissza. A sebezhetőségek elsősorban speciálisan összeállított weboldalak révén használhatók ki. A biztonsági hibák legfőbb kockázata, hogy a támadók számára jogosulatlan kódfuttatási lehetőséget biztosítanak. A Microsoft szerint a sérülékenységek az Internet Explorer 5.01-es és 6-os verziói mellett a legújabb, 7-es kiadást is érintik.
MS07-028
A Microsoft a BizTalk Server megoldásai esetében is megszüntetett egy kritikus veszélyességű sebezhetőséget. A hiba a CAPICOM (Cryptographic API Component Object Model) egyik sérülékenységére vezethető vissza, és lehetőséget biztosít a támadók számára a rendszerek feletti irányítás megszerzésére. A CAPICOM.dll állományban található sérülékenység elsősorban a BizTalk Server 2004 termékek esetében okozhat biztonsági problémákat, de a közlemény szerint a Platform SDK használata esetén is érdemes frissíteni a szervereket.
MS07-029
E biztonsági közleményhez tartozó hibajavítást már sokan várták, ugyanis ennek révén megszüntethető a néhány hete napvilágra került DNS sebezhetőség. A hiba a Windows DNS Server szolgáltatását érinti, és a kihasználásával a támadók jogosulatlan hozzáférést szerezhetnek az érintett szerverek felett. A Microsoft közleményéből kiderül, hogy a biztonsági rés a Windows 2000 Server valamint a Windows Server 2003 operációs rendszerek esetében is befoltozásra került.
