Вчера компания Microsoft объявила о том, что в ближайший вторник выпустит
девять обновлений безопасности, восемь из которых коснутся Windows. Пять
обновлений получили самый высокий статус "критических", а оставшиеся четыре -
"важных".
По мнению Эндрю Стормса из nCircle Network Security, большинство из этих
обновлений могут быть связаны с
лишним знаком "&", который один из программистов Microsoft оставил в важнейшей
библиотеке кода.
Из девяти указанных в предварительном уведомлении патчей восемь затрагивают
различные версии Windows, а девятый – клиент Remote Desktop Connection для Mac,
позволяющий пользователям Mac подключаться к компьютерам Windows.
Первый из девяти бюллетеней закроет дыру в Office Web Components (OWC),
связанное с которой руководство по безопасности компания выпустила в прошлом
месяце, сообщив о том, что хакеры используют критическую уязвимость в созданном
Microsoft элементе управления ActiveX, что подвергает пользователей Internet
Explorer риску. Дырявый элемент управления ActiveX используется для отображения
в этом браузере таблиц Excel.
В момент выпуска данного предупреждения корпорация сообщила, что к атакам
через IE уязвимы пользователи Office XP, Office 2003, ISA 2004, ISA 2006 и
Office Small Business Accounting 2006. Все эти пакеты перечислены и в вышедшем
вчера уведомлении.
Бюллетень под номером пять закроет уязвимость в Outlook Express и обновит две
последние версии Windows Media Player. По словам Эндрю Стормса, этим бюллетенем
корпорация может пропатчить приложения, связанные со старой библиотекой Active
Template Library (ATL). Эксперт высказал предположение, что связанные с этой
библиотекой патчи будут выходить на протяжении еще многих месяцев по мере того,
как компания будет проверять свое программное обеспечение.
Всего неделю с небольшим назад корпорация
Microsoft выпустила два
внеочередных патча, закрывающих множественные уязвимости в IE и Visual
Studio, связанные с ATL, используемой Microsoft и сторонними разработчиками для
создания элементов управления ActiveX и компонентов приложений. Например,
использование этой библиотеки подтвердила компания Adobe, после чего в конце
прошлой недели выпустила обновления для Flash Player и Shockwave Player,
перекомпилировав их с использованием пропатченной ATL.
Добавим лишь, что Microsoft выпустит девять обновлений в час дня по
восточному поясному времени США 11-го августа.
