Wrześniowy Microsoft Patch Tuesday zamyka ważne luki XSS

Wrześniowy Microsoft Patch Tuesday zamyka ważne luki XSS
Wpisany przez Rafał Kowalewski
Czwartek, 13 Wrzesień 2012 23:14 - Zmieniony Piątek, 14 Wrzesień 2012 00:20
W ramach wrześniowego "Wtorku Poprawek" - Patch Tuesday, Microsoft wydał dwie
aktualizacje zabezpieczeń, które są oceniane jako ważne. Poprawki te dotyczą luk w Visual
Studio Team Foundation Server 2010 (TFS) i Systems Management Server 2003 i 2007. Obie
aktualizacje zawierają poprawki luk cross-site scripting (XSS) w interfejsach sieciowych, które
pozwalają napastnikowi na wykonanie dowolnego kodu w przeglądarce ofiary.
Luki umożliwiają atakującemu dostęp do interfejsów www z poziomu uprawnień użytkownika.
Microsoft zaklasyfikował je jako luki przekroczenia uprawnień. Spółka zwraca uwagę, że według
jej wiedzy, luki nie były jeszcze wykorzystywane do ataków.
Microsoft opublikował także szereg innych poprawek dla systemu Windows, Windows Server i
Malicious Software Removal Tool, to uważa je za nie związane z bezpieczeństwem. Spółka
zwraca uwagę, że, w odróżnieniu od wcześniejszych wrześniowych aktualizacji, tym razem
użytkownicy mogą być zmuszeni do ponownego uruchomienia komputera po instalacji
poprawek.
Chociaż aktualny wtorek okazała się być raczej umiarkowany, kolejna porcja poprawek może
być znacznie poważniejsza. W październiku, Microsoft wykorzysta Windows Update, aby
zainstalować poprawkę, która spowoduje unieważnienie certyfikatów z prywatnym kluczem
RSA o długości poniżej 1024 bitów. Obecnie zaleca się klucze RSA o długości co najmniej 2048
bitów.
Źródło: H-Online
1/1