Xakep #305. Многошаговые SQL-инъекции
8 декабря в ходе очередного ежемесячного “обновления по вторникам” компания
Microsoft выпустит комплект патчей, закрывающих 12 проблем, включая
непропатченную уязвимость в Internet Explorer 8. Всего будет опубликовано шесть
бюллетеней безопасности.
Обновления коснутся Windows 2000, XP, Vista, Windows 7, Server 2003 и 2008, а
также IE 8, Office XP и Office 2003. Три патча получили статус критических, это
означает, что они устраняют те бреши, которыми хакеры могут воспользоваться
удаленно для запуска произвольного кода.
В числе таких патчей – заплатка для дыры в Internet Explorer 8, позволяющая
злоумышленникам удаленно запустить в системе вредоносное ПО и выкрасть важную
финансовую информацию и данные авторизации. Анонсируя выходящие обновления,
Microsoft признала факт существования реальных эксплоитов для этой дыры и
наличие у пользователей серьезной обеспокоенности.
Для того, чтобы воспользоваться брешью в IE, киберпреступникам необходимо
обманным путем заманить потенциальную жертву на специальный сайт, содержащий
особым образом составленную вредоносную страницу. До момента выхода обновления
Microsoft рекомендует клиентам установить все предыдущие патчи, файервол и
поддерживать свое антивирусное программное обеспечение в надлежащем состоянии.
Три оставшихся патча носят статус важных, они закрывают многочисленные ошибки
в Windows и Office, приводящие к отказам в обслуживании и удаленному выполнению
кода.
