A Microsoft kiadta a júniusi hibajavításait, amelyek a Windows operációs rendszer különböző verzióiban, valamint a cég néhány szoftverében szüntetnek meg számos veszélyes sebezhetőséget.
A Microsoft - ahogy arról a múlt héten már egy előzetes tájékoztató formájában beszámolt - összesen hat biztonsági közleményt tett elérhetővé, melyek közül négy kritikus veszélyességi besorolást kapott. A legnagyobb kockázatokat rejtő sérülékenységek kihasználásával kártékony kódok jogosulatlan futtatására nyílik lehetőség, átvehető az érintett rendszerek feletti irányítás, és azok egyes esetekben akár férgek terjesztéséhez is felhasználhatók.
A Microsoft ebben a hónapban a Windows operációs rendszereihez, az Internet Explorer webböngészőhöz, a levelező szoftvereihez valamint a Visio alkalmazásaihoz adott ki hibajavításokat. Ezek a Microsoft automatikus frissítési szolgáltatásai révén telepíthetők, de akár a cég weboldalairól is letölthetők.
A Microsoft júniusi biztonsági közleményei a következők:
MS07-031
A közlemény egy kritikus veszélyességű biztonsági résről számol be, amely a Windows Secure Channel (Schannel) összetevőjének egyik sebezhetőségére vezethető vissza. A Schannel csomag biztosítja többek között az Interneten keresztüli biztonságos adatátvitelt, hiszen fontos szerepet tölt be a Secure Sockets Layer (SSL) és a Transport Layer Security (TLS) protokollok kezelésében. A biztonsági összetevő sérülékenysége speciálisan szerkesztett weboldalak révén használható ki. A Microsoft közleményéből kiderül, hogy a hiba kártékony kódok jogosulatlan távoli futtatásához vezethet, de legtöbb esetben a böngészők összeomlását okozza. Ezt követően a webböngészőben nem jelennek meg az SSL és TLS adatátvitelt használó weboldalak egészen addig, amíg a felhasználó a számítógépét újra nem indítja. A sebezhetőség a Windows 2000, a Windows XP és a Windows Server 2003 operációs rendszerek esetében okozhat biztonsági problémákat.
MS07-033
A közleményhez tartozó hibajavítások összesen hat sérülékenységet szüntetnek meg az Internet Explorer webböngésző különböző verzióiban. A sebezhetőségek érintik az alkalmazás memóriakezelését, a COM objektumok és a CSS állományok feldolgozását, a nyelvek kezelését valamint a hangvezérlést végző összetevőket. A Microsoft szerint a speciálisan szerkesztett weboldalak révén kihasználható hibák elősegíthetik a weblapok hamisítását, és kártékony kódok futtatásához vezethetnek. A biztonsági rések az Internet Explorer 5.01-es, 6-os és 7-es verzióiban is megtalálhatók.
MS07-034
A Microsoft ebben a közleményében négy olyan sebezhetőségről ad tájékoztatást, amelyek az Outlook Express valamint a Windows Mail alkalmazásokat érintik. A cég szerint a hibák közül az egyik a két szoftver révén közvetlenül is kihasználható, míg a másik három akkor okozhat problémákat, ha a felhasználó Internet Explorert is futtat. A sérülékenységek a levelezőprogramok MHTML és UNC kezelésében találhatók. A biztonsági rések csak a Windows 2000 SP4 operációs rendszerek alatt használt, legújabb javítócsomagokkal ellátott Outlook Express alkalmazások esetében nem jelentenek veszélyt. Minden más esetben a frissítések telepítésére van szükség.
MS07-035
A kritikus veszélyességű biztonsági hiba a Win32 API-ban található, és egyes paraméterek nem megfelelő kezelésére vezethető vissza. A Microsoft szerint a sebezhetőség elsősorban speciálisan szerkesztett weboldalak révén használható ki, és lehetőséget biztosít a támadók számára, hogy teljes mértékben átvegyék az érintett rendszerek feletti irányítást. A sérülékenység a Windows 2000, a Windows XP valamint a Windows Server 2003 operációs rendszereket érinti.
MS07-030
A fent ismertetett hibáktól eltérően az MS07-030-as közlemény már két kevésbé veszélyes sebezhetőségről nyújt információkat. Ennek ellenére számolni kell velük, hiszen egyes esetekben hozzájárulhat kártékony kódok jogosulatlan távoli futtatásához is. A biztonsági rések a Visio 2002 valamint a Visio 2003 alkalmazásokban találhatók, és speciálisan összeállított .VSD, .VSS vagy .VST kiterjesztésű állományok révén használhatók ki.
MS07-032
A Microsoft ebben a közleményben egy alacsonyabb kockázatú sebezhetőséget ismertetett. A cég szerint a hiba kizárólag a Vista és a Vista x64 Edition operációs rendszerek használata során okozhat problémákat. A sérülékenység kihasználásával ugyanis a felhasználók a helyi számítógépeken olyan erőforrásokhoz férhetnek hozzá, amelyekhez normális esetben nem lenne joguk. Így az is előfordulhat, hogy alacsonyabb szintű jogosultságokkal rendelkező személyek korlátlan hozzáférést nyerhetnek az érintett számítógépekhez.
