"Szykuje się kolejne wielkie uaktualnienie. Ale tak naprawdę oczekiwaliśmy czegoś takiego - spodziewaliśmy co najmniej dwucyfrowej liczby poprawek i luk" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security i ceniony specjalista ds. bezpieczeństwa. Dodajmy, że przed miesiącem Microsoft udostępnił tylko dwa uaktualnienia (usuwające sześć błędów), zaś w lutym poprawek było 13 (a błędów - aż 26).

"Dobra wiadomość jest taka, że Microsoft wreszcie załata dwie stare dziury" - mówi Storms, odnosząc się w ten sposób do deklaracji Jerry'ego Bryanta z Microsoftu, który przy okazji podawania liczby planowanych poprawek zapowiedział, że koncern załata m.in. dwie luki znane od listopada 2009 r. i marca 2010.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Problem z F1 wreszcie rozwiązany?

Ta druga z nich dotyczy Windows XP oraz pewnego problemu z językiem VBScript i plikami pomocy (rozszerzenie .hlp) - polski specjalista Maurycy Prodeus dowiódł, że jeśli przestępcy uda się skłonić użytkownika do wciśnięcia w odpowiednim momencie klawisza F1, to możliwe będzie wprowadzenie do systemu złośliwego kodu i przejęcie kontroli nad maszyną.

Luka wykryta w ubiegłym roku znajduje się w protokole sieciowym SMB (Server Message Block), wykorzystywanym m.in. do udostępniania plików i drukarek. Problem ten dotyczy również systemu Windows 7 - co więcej, była to pierwsza wykryta w tym OS-ie luka typu "zero-day".

Pięć miesięcy czekania na łatę

"Z załataniem tego błędu zwlekali nadspodziewanie długo [blisko pięć miesięcy - red]. Moim zdaniem podczas analiz na jaw wyszło, że dotyczy on znacznie większej części kodu, niż mogłoby się wydawać. Niewykluczone też, że Microsoft nie spieszył się z łataniem, bo nie odnotowano żadnych prób wykorzystania owej luki do atakowania użytkowników" - zastanawia się Andrew Storms.

Z 11 zapowiedzianych przez koncern poprawek najbardziej interesujące są te oznaczone numerami 1 i 2 - przede wszystkim dlatego, że obie będą miały status uaktualnienia krytycznego i że obie przeznaczone będą dla wszystkich obsługiwanych przez Microsoft wersji Windows (od Windows 2000, po 7 i Server 2008 R2).

W sumie aż pięć poprawek oznaczono jako krytyczne, kolejne pięć to uaktualnienia "ważne", zaś jedno jest "umiarkowanie ważne". Użytkownicy Windows 7 - najnowszego OS-u Microsoftu - będą musieli zainstalować cztery z nich (co ciekawe, wśród nich znajdzie się poprawka rozwiązujące problem z F1 - wcześniej koncern informował, że "siódemki" on nie dotyczy).

W pakiecie znajdą się również poprawki dla MS Publishera (programu do tworzenia publikacji, wchodzącego w skład niektórych wersji MS Office) oraz dla popularnego serwera pocztowego MS Exchange. Ta ostatnia może być szczególnie uciążliwa dla użytkowników korporacyjnych - "Z takimi uaktualnieniami zawsze są problemy. Administratorzy muszą się zastanowić, co będzie ważniejsze w przypadku ich firmy - szybkie zaktualizowanie serwera, czy raczej zapewnienie użytkownikom stałego dostępu do poczty elektronicznej. To nie jest proste zadanie - bezpieczeństwo oczywiście jest krytyczna kwestią, ale ryzyka związane z zakłóceniem komunikacji też są poważne" - tłumaczy Storms.

Patcha dla IE nie będzie

Wydaje się, że w kwietniowym pakiecie poprawek wciąż nie znajdzie się łata usuwająca wykrytą na początku lutego dziurę w zabezpieczeniach przeglądarki Internet Explorer (Microsoft tłumaczy, że na razie na atak narażone są wyłącznie maszyny, w których nie jest aktywny tzw. Protected Mode).

Jerry Bryant z koncernu z Redmond przypomniał przy okazji, że w najbliższym czasie Microsoft oficjalnie zakończy świadczenie wsparcia technicznego dla niektórych swoich produktów - chodzi to m.in. o Windows Vista RTM (bez zainstalowanego SP1 lub SP2), Windows XP SP2 oraz Windows 2000.

Najnowszy pakiet poprawek dla produktów Microsoftu zostanie udostępnione w najbliższy wtorek (późnym popołudniem). Więcej informacji znaleźć można na stronie koncernu.