Koncern zapowiedział właśnie, że we wtorek pojawią się tylko dwa biuletyny bezpieczeństwa - w sumie usuwać będą one osiem różnych luk w Windows oraz MS Office. To miła odmiana po lutowym pakiecie - na który składało się 13 biuletynów, usuwających w sumie 26 luk.

"Marzec faktycznie był dla Microsoftu zwykle dość leniwy, jeśli chodzi o łatanie - w tym miesiącu od lat pojawia się niewiele biuletynów - rok temu były tylko trzy, zaś w 2008 r. - cztery. Warto odnotować, że tym razem koncern łata swoje aplikacje - przed miesiącem zdecydowana większość poprawek była przeznaczona dla systemów z rodziny Windows" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.

Oba planowane na wtorek biuletyny oznaczone będą jako uaktualnienia "ważne". To też jest pewnym zaskoczeniem, bo z opisu luk dostarczonego przez Microsoft wynika, że przynajmniej dwie z nich umożliwiają nieautoryzowane uruchomienie w systemie kodu - a takie błędy zwykle uznawane są za krytyczne. "Gdy ludzie z Redmond mówią nam, że luka umożliwia nieautoryzowane uruchomienie kodu, ale jednocześnie przyznają uaktualnieniu status "ważne", to zwykle znaczy, że luka co prawda jest poważna, ale jednocześnie jakiś domyślnie włączony w OS-ie mechanizm zabezpiecza użytkowników przed atakiem" - komentuje Storms.

Poprawki opisane w pierwszym biuletynie będą usuwały luki z Windows XP, Visty oraz Windows 7. Wiadomo, że wszystkie problemy dotyczą najnowszych, w pełni uaktualnionych wersji powyższych OS-ów (co więcej - na atak podatne są wersje 32- i 64-bitowe).

Drugi zestaw uaktualnień usuwa poważne błędy z arkusza kalkulacyjnego Excel w wersjach 2002, 2003 oraz 2007 dla Windows, a także Excela 2004 i 2008 dla Mac OS X. "Wygląda na to, że Microsoft szykuje się do załatania jakieś kolejnej naprawdę poważnej luki związanej z formatami plików - warto odnotować, że pojawi się m.in. patch dla udostępnionej niedawno wersji 2007 SP2. Ciekawe, co się dzieje - bo przecież podobno to najnowsze wydanie miało być w 100% wolne od problemów związanych z formatami" - zastanawia się przedstawiciel nCircle Network Security

Co ważne, wszystkie nowe luki mogą zostać wykorzystane do zaatakowania systemu tylko pod warunkiem, że "napastnik" skłoni ofiarę do otwarcia w systemie odpowiednio zmodyfikowanego pliku. Chciałbym uspokoić użytkowników - żadna z luk nie pozwala na przeprowadzenie zmasowanego ataku za pośrednictwem Sieci. Za każdym razem niezbędne jest skłonienie użytkownika do pewnej interakcji" - wyjaśnia Jerry Bryant, specjalista z Microsoft Security Research Center.

Dodajmy, że w marcowym zestawie poprawek nie znajdzie się kilka bardzo ważnych patchy dla produktów Microsoftu - wygląda na to, że koncern nie zamierza w tym miesiącu załatać luki w protokole SMB (Server Message Block), która może zostać wykorzystana do zaatakowania Windows 7 i Windows Server 2008 R2.

Na razie nie będzie też łaty usuwającej lukę w języku skryptowym VBScript, która, jak się ostatnio okazało, pozwala na zaatakowanie systemu za pośrednictwem Pomocy Windows. Niezbędna jest do tego interakcja użytkownika - musi on na spreparowanej stronie WWW wcisnąć przycisk F1 (dlatego też Microsoft wystosował oficjalne ostrzeżenie, które można streścić w trzech słowach: Nie wciskajcie F1).

Koncern kilka tygodni temu sygnalizował, że ma praktycznie gotową poprawkę dla SMB - to, że nie znalazła się ona na liście marcowych uaktualnień, może świadczyć o tym, że podczas jej testowania pojawiły się jakieś nieprzewidziane problemy.

Więcej informacji o najnowszych poprawkach - które powinny być dostępne we wtorek wieczorem - znaleźć można na stronie Microsoftu.