Testes lesz a júniusi patch kedd
Masszív patch kedd érkezik a Microsoft jóvoltából. A vállalat 10 frissítéssel összesen 34 biztonsági rést tervez foltozni jövő héten, amivel beállította korábbi rekordját. Biztonsági kockázat szempontjából azonban mérsékeltnek mondható a helyzet.
A Microsoft előzetes közlönye szerint a júniusi patch kedden 10 biztonsági csomag érkezik majd a cég szoftverei számára, amelyek közül 7 érinti a Windows operációs rendszereket, három az Office szoftvereket, egy pedig a SharePointot. A Windowsok közül mindegyik érintett a jelenleg támogatottak közül, és a Server Core telepítések sem ússzák meg, ugyanakkor a három kritikus besorolású frissítés szerencsére elkerüli ezeket a rendszereket, igaz, a fontos besorolásúak egyike biztosan újraindítást követel. A kritikus frissítések mindegyike távoli kód végrehajtását lehetővé tévő réseket foltoz be.
A biztonsági csapat közölte, hogy a frissítések egyike gyógyírt hoz az Internet Explorer februári sebezhetőségére. A Microsoft szerint a sebezhetőség az Internet Explorer összes változatát érinti, az 5.01-estől kezdve egészen a 8-asig, amennyiben azt olyan operációs rendszeren futtatják, amely nem ad lehetőséget a védett mód bekapcsolására. Ez a Windows Vistát és a Windows 7-et leszámítva érvényes az összes korábbi Windowsra, de a böngésző Vistán és Windows 7-en is sérülékeny abban az esetben, ha a védett módot valamilyen oknál fogva kikapcsolták.
A SharePoint Services 3.0 szerverszoftverhez érkező frissítés szintén egy már korábban publikált sebezhetőséget orvosol, amelyre május elején derült még fény. A cross-site scripting (XSS) támadás során a bejelentkezett SharePoint-felhasználónak elég egy előre preparált, JavaScriptet tartalmazó URL-t küldeni, amelyre kattintva az a felhasználó kontextusában lefut. A sérülékenység kihasználásával kompromittálható a SharePoint, ellophatók a cookie-kban tárol bejelentkezési információk, a jogosultsági szint emelése is lehetővé válhat, de akár a SharePointban tárolt adatokhoz is hozzáférhetnek a támadó.
Érdemes tudni, hogy a jövő heti patch kedd az utolsó előtti, amelyben a Windows 2000 SP4 és XP SP2 operációs rendszerek részesülnek, ahogyan ezek aktív támogatottsága lejár. Július 13-ától kezdődően nem készül több frissítés ezekhez a platformokhoz, és műszaki támogatást sem lehet igénybe venni, hacsak az ügyfél nem köt külön, egyéni szerződést erre a Microsofttal, természetesen egyedi árazással. Ez a Windows 2000 végét jelenti, míg az XP-nél az SP3 feltelepítésével 2014-ig támogatáshoz jutunk. Azok számára, akik XP-s PC-környezetben gondolkodnak, érdemes tudni, hogy idén valamikor, a Windows 7 SP1 megjelenésével megszűnik a Windows 7 Enterprise licencekkel szerezhető XP downgrade jog, vagyis újabb desktop XP telepítésekre ezt követően nem lehet jogszerűen szert tenni.