Microsoft: новые «старые» и просто новые «заплатки»

Есть у Microsoft такая традиция: каждую среду «радовать» пользователей своих продуктов двумя-тремя патчами, затыкающими некоторые особо опасные «дыры» в системах безопасности Windows.

И если предыдущие две недели прошли сравнительно спокойно (новых опасных уязвимостей Microsoft в своих продуктах не обнаружила), то на этой ее, как это обычно бывает, прорвало.

Первый выводок новых багов был обнаружен в Microsoft Internet Information Services версий 4.0, 5.0 и 5.1. Отдельно отметим, что версия 6.0 этим уязвимостям не подвержена. Кумулятивный патч (811114), заодно со всеми ранее обнаруженными «дырами», устраняет ошибку в обработке CSS, одну возможность потенциального переполнения буфера и сразу две ошибки, способных привести к DoS-атаке на управляемый IIS названных версий сайт.

Подробности — в Security Bulletin MS03-18.

Вторая ошибка обнаружена в расширении ISAPI для Windows Media Services версии 4.1 под операционными системами Windows NT 4.0 и Windows 2000. Она потенциально способна стать причиной DoS-атаки на сервер. Ошибке присвоена средняя степень опасности, и выпущен соответствующий патч (817772).

Подробнее — в Security Bulletin MS03-19.

Наконец, сегодня Microsoft обновила два ранее выпущенных патча.

Первый, правящий опасную «дыру» в Windows NT 4.0, 2000 и XP, сначала появился 16 апреля (мы об этом писали), а десять дней спустя в нем обнаружилась досадная ошибка, серьезно замедляющая работу компьютеров под Windows XP SP1 (об этом мы тоже писали). Не знаем, что там целый месяц правили программисты Microsoft, но вчера патч был обновлен с пометкой о том, что проблема снижения производительности теперь устранена.

Подробнее об этой «заплатке» (811493) читайте в Security Bulletin MS03-013.

Второй обновившийся патч (815021) исправляет критическую ошибку в IIS на Windows NT 4.0, Windows 2000 и XP, позволяющую хакеру запускать на сервере любой код по своему усмотрению. «Заплатка» была первоначально выпущена 17 марта и тогда предназначалась только для Windows 2000. Затем, 24 апреля она была обновлена первый раз, включив в себя правки аналогичного бага в Windows NT 4.0. А теперь Microsoft нашла тот же баг в Windows XP.

Подробности — в Security Bulletin MS03-007.

Данил Гридасов