Dajbych.net


Mimořádná aktualizace IE (KB2964358) je i pro Windows XP

, 3 minuty čtení

Micro­soft vy­dal včera ve­čer mi­mo­řád­nou ak­tua­li­zaci, která řeší bez­peč­nostní zra­ni­tel­nost In­ter­net Ex­plo­reru, která byla ob­je­vena před pěti dny. Po­sti­ženy jsou všechny verze IE od verze 6. Fakt, že je bez­peč­nost pro­duktů pro Micro­soft pr­vo­řadým cílem, do­kládá i to, že tato ak­tua­li­zace je k dis­po­zici i pro Win­dows XP – de­kádu starý ope­rační systém, kte­rému ne­dávno skon­čila ně­ko­li­krát prodlu­žo­vaná pod­pora. Zra­ni­tel­nost se ne­tý­kala pro­hlí­žeče v kom­bi­naci re­žimů x64 a Enhan­ced Pro­tec­ted Mode.

Další mož­ností, jak se ta­ko­vým úto­kům brá­nit, je na­in­stalo­vat Enhan­ced Mi­ti­gati­ons Ex­pe­ri­ence Tool­kit (EMET). Ten za­hrne In­ter­net Ex­plo­rer do bez­peč­nost­ních me­cha­nismů ope­rač­ního systému, je­jichž IE není sou­částí kvůli zacho­vání zpětné kom­pa­ti­bi­lity. Ně­které pro­gramy, které vyu­ží­vají já­dro IE, by prostě pře­staly fun­go­vat. Tento ná­stroj ve výcho­zím na­sta­vení do­ká­zal zablo­ko­vat ex­ploit vyu­ží­vající ob­je­ve­nou zra­ni­tel­nost. Nej­no­vější verze to­hoto ná­stroje je EMET 5 Tech Pre­view Re­le­ase 2.

Zra­ni­tel­nost se týká knihovny vgx.dll, kte­rou lin­kuje mshtml.dll. Sa­motná oprava spo­čí­vala v opravě správy ope­rační paměti.

Ak­tua­li­zace je jed­no­rá­zová a vy­ža­duje dub­no­vou ku­mula­tivní ak­tua­li­zaci. Možná jste si všimli, že květ­nová ku­mula­tivní ak­tua­li­zace ne­pů­jde v pří­padě Win­dows 8.1 na­in­stalo­vat bez ak­tua­li­zace zvané Spring Up­date, nebo také Win­dwos 8.1 Up­date 1, zkrátka KB2919355. Bez­peč­nostní oprava však tuto ak­tua­li­zaci ne­vy­ža­duje a bude to pla­tit i pro pří­padné další opravy v bu­doucnu až do konce srpna. Proto jsou vlastně bez­peč­nostní ak­tua­li­zace dvě – KB2964358 a KB2964444.

Mohlo by vás také za­jí­mat, proč trvá oprava zhruba tý­den, přes­tože do­po­ru­čení, jak ne­být chy­bou ohro­žen, je vy­dané prak­ticky okamžitě. Nej­prve se zjišťuje, které verze In­ter­net Ex­ploreru a v jakých kon­fi­gu­ra­cích jsou ohro­žené. Poté se zkouší vyu­žít zra­ni­tel­nosti a pro­vést útok, aby se pak mohlo tes­tovat, jestli je oprava účinná ve všech ohro­že­ných kon­fi­gu­ra­cích a jestli ne­způ­so­bila ne­kom­pa­ti­bi­litu v sa­mot­ném systému, nebo v apli­ka­cích tře­tích stran. K tomu má Micro­soft spe­ci­a­li­zo­va­nou la­bo­ra­toř.

Vy­vstává také otázka, proč se Micro­soft roz­hodl v tomto pří­padě opra­vit i Win­dows XP, když to není zrovna spra­ved­livé vůči všem, kteří po­u­ží­vají Win­dows 7 nebo Win­dows 8.1. Ne­malý vliv na toto roz­hod­nutí měl ne­přesný bule­tin Uni­ted Sta­tes De­part­ment of Ho­me­land Secu­rity, který ne­roz­li­šo­val verze pro­hlí­žeče ani ope­rač­ního systému a po­va­žo­val zra­ni­tel­nost všech verzí In­ter­net Ex­plo­reru za tr­valou. Ob­jek­tivně se však uži­va­telé po­u­ží­vá­ním ji­ného pro­hlí­žeče vy­sta­vují dlouho­době vyš­šímu ri­ziku.

Další in­for­mace se do­čtete v bez­peč­nost­ního bule­tinu MS14-021.