Dajbych.net


Mimořádná aktualizace IE (KB2964358) je i pro Windows XP

, 3 minuty čtení

Mi­crosoft vy­dal včera večer mi­mořád­nou ak­tu­al­izaci, která řeší bezpečnos­tní zran­itel­nost In­ter­net Ex­ploreru, která byla ob­jevena před pěti dny. Postiženy jsou všechny verze IE od verze 6. Fakt, že je bezpečnost pro­duktů pro Mi­crosoft pr­vořadým cílem, dok­ládá i to, že tato ak­tu­al­izace je k dis­pozici i pro Win­dows XP – dekádu starý op­er­ační sys­tém, kterému nedávno skončila něko­likrát prod­lužo­vaná pod­pora. Zran­itel­nost se netýkala proh­lížeče v kom­bi­naci režimů x64 a En­hanced Pro­tected Mode.

Další možností, jak se takovým útokům bránit, je nain­stalo­vat En­hanced Mit­i­ga­tions Ex­pe­ri­ence Toolkit (EMET). Ten zahrne In­ter­net Ex­plorer do bezpečnos­t­ních mech­a­nismů op­er­ačního sys­tému, je­jichž IE není součástí kvůli za­chování zpětné kom­pat­i­bil­ity. Něk­teré pro­gramy, které využí­vají já­dro IE, by prostě přestaly fun­go­vat. Tento nástroj ve vý­chozím nas­tavení dokázal zabloko­vat ex­ploit využí­va­jící ob­jeve­nou zran­itel­nost. Ne­jnovější verze to­hoto nástroje je EMET 5 Tech Pre­view Re­lease 2.

Zran­itel­nost se týká kni­hovny vgx.dll, kterou linkuje mshtml.dll. Samotná oprava spočí­vala v opravě správy op­er­ační paměti.

Ak­tu­al­izace je jed­norá­zová a vyžaduje dub­novou ku­mu­la­tivní ak­tu­al­izaci. Možná jste si všimli, že květ­nová ku­mu­la­tivní ak­tu­al­izace nepůjde v pří­padě Win­dows 8.1 nain­stalo­vat bez ak­tu­al­izace zvané Spring Up­date, nebo také Wind­wos 8.1 Up­date 1, zkrátka KB2919355. Bezpečnos­tní oprava však tuto ak­tu­al­izaci nevyžaduje a bude to platit i pro pří­padné další opravy v bu­doucnu až do konce srpna. Proto jsou vlastně bezpečnos­tní ak­tu­al­izace dvě – KB2964358 a KB2964444.

Mohlo by vás také za­jí­mat, proč trvá oprava zhruba tý­den, přestože do­poručení, jak nebýt chy­bou ohrožen, je vy­dané prak­ticky okamžitě. Ne­jprve se zjišťuje, které verze In­ter­net Ex­ploreru a v jakých kon­fig­u­racích jsou ohrožené. Poté se zk­ouší využít zran­itel­nosti a provést útok, aby se pak mohlo testovat, jestli je oprava účinná ve všech ohrožených kon­fig­u­racích a jestli nezpů­so­bila nekom­pat­i­bil­itu v samot­ném sys­tému, nebo v ap­likacích třetích stran. K tomu má Mi­crosoft spe­cial­i­zo­vanou lab­o­ra­toř.

Vyvstává také otázka, proč se Mi­crosoft rozhodl v tomto pří­padě opravit i Win­dows XP, když to není zrovna spravedlivé vůči všem, kteří použí­vají Win­dows 7 nebo Win­dows 8.1. Ne­malý vliv na toto rozhod­nutí měl nepřesný buletin United States De­part­ment of Home­land Se­cu­rity, který nero­zlišo­val verze proh­lížeče ani op­er­ačního sys­tému a po­važo­val zran­itel­nost všech verzí In­ter­net Ex­ploreru za tr­valou. Ob­jek­tivně se však uži­vatelé používáním jiného proh­lížeče vys­tavují dlouhodobě vyššímu riziku.

Další in­for­mace se dočtete v bezpečnos­t­ního bulet­inu MS14-021.