Elmaradt az esti előrehozott sörözés, szóval lett egy kis időm összerántani az elmúlt frissítőkedd érdekességeit, voilá:

MS09-069: Távoli, DoS előidézésére alkalmas sebezhetőség a Windows 2000, 2003 és XP LSASS szolgáltatásában. A problémát speciális IPSec csomagok segítségével lehet kihasználni, autentikáció nem szükséges.

MS09-070: Autentikált felhasználók speciális HTTP kérések segítségével távolról kódot futtathatnak olyan webkiszolgálókon, melyeken engedélyezve van az Active Directory Federation Services szolgáltatás. A javítócsomagban orvosolt másik sebezhetőség felhasználók megszemélyesítését teszi lehetővé, amennyiben egy támadó hozzáférést szerez egy munkaállomáshoz, ahonnan előzőleg sikeres hitelesítést hajtottak végre. 

MS09-071: Távoli kódfuttatásra valamint privilégiumszint-emelésre alkalmas problémák az Internet Authentication Service illetve Network Policy Server szolgáltatásokban a PEAP és MS-CHAP v2 protokollok alkalmazásakor. A problémák a RADIUS szerver funkciót ellátó  kiszolgálókat érinti, ezek közül pedig a 32 és 64 bites Windows 2008 Serverek vannak a legnagyobb veszélyben, mivel míg a régebbi változatokban ugyan megtalálhatók a hibás kódrészletek, ezek nem kerülnek felhasználásra a szolgáltatások implementációiban. 

MS09-072: Az utóbbi időben elmaradhatatlanok a különböző, ATL-el összefüggő problémák, most egy ilyet kapunk egybecsomagolva három másik Internet Explorer sebezhetőséggel - utóbbiak inicializálatlan, vagy már felszabadított memóriaterületek használatából adódnak. A sebezhetőségek kritkus besorolást kaptak a böngésző gyakorlatilag összes (értsd: 5-ös vagy újabb!) változatára nézve, mivel kódfuttatást tesznek lehetővé közvetlenül egy speciális weboldal megtekintésén keresztül. A CVE-2009-3672 jelű hibához elvileg publikusan elérhető exploit, nekem ezt nem sikerült megtalálnom, részben mivel az OSVDB HTTP500-at dobál.

MS09-073: Kódfuttatásra alkalamas sebezhetőségek a WordPad-ben és az Office Text Converter komponenseiben. Windows 2000, 2003 és XP.

MS09-074: Az előzőhöz hasonló, MS Project-et érintő hibák javítása. 

Aki telepíti a frissítéseket gazdagabb lesz az Extended Protection for Authentication nevű csodával, ami megerősített autentikációt biztosít megfelelően konfigurált windowsos HTTP kliensek és szerverek között. A módszer lényegében a Kerberos és NTLM hitelesítési protokollok ellen elkövetett közbeékelődéses támadásokat hárítja el azáltal, hogy megakadályozza a megszerzeti hitelesítő adatok újrafelhasználását. Bővebb leírás itt található. Búcsúzóul kaptok egy kis chiptune-t, ez tartott ébren idáig: