W środę wydane zostały 3 biuletyny bezpieczeństwa. Jeden z nich (MS03-026) dotyczy problemu z przepełnieniem bufora w RPC, do którego dochodzi również w systemie Windows Server 2003 - zalecane jest zainstalowanie krytycznej dla bezpieczeństwa poprawki.

Opis problemu
Remote Procedure Call (RPC) to protokół oparty na specyfikacji Open Source Fundation rozszerzony przez firmę Microsoft. Służy do komunikacji między procesami, w tym do komunikacji zdalnej, pozwalającej na uruchomienie kodu na zdalnym systemie. Odkryty błąd w interfejsie do DCOM (Distributed Component Object Model) obsługującym zdalne wywołania  klientów przez protokół TCP/IP na porcie 135. Wykorzystanie błędu pozwala na uruchomienie kodu z przywilejami użytkownika Local System, zdolnego do wykonania praktycznie dowolnej akcji w systemie. Problem nie występuje na komputerach, w których port 135 jest zablokowany przez firewall - tak dzieje się przykładowo przy domyślnych ustawieniach wbudowanego w Windows ICF. Microsoft zaleca blokowanie wszystkich nieużywanych portów TCP/IP, zaś w przypadku konieczności stosowania komunikacji RPC szczegółowy opis zabezpieczeń zawarty jest w artykule Writing a Secure RPC Client od Server.

Dostępność aktualizacji
Błąd dotyczy wszystkich desktopowych i serwerowych edycji Windows z rodziny NT (NT4/2000/XP/2003). Dla wszystkich supportowanych obecnie systemów opracowane zostały łaty bezpieczeństwa, do których linki można znaleźć w biuletynie bezpieczeństwa. W naszym dziale plików umieszczone są łaty przeznaczone dla systemu Windows Server 2003 w wersji polskiej (PL) i angielskiej (ENG/US). Podobnie jak w przypadku pozostałych systemów łata ma status krytyczny.

Informacje dodatkowe
Zainstalowanie poprawki potwierdza istnienie w rejestrze następującego klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980. W celu porównania zgodności dat, czasów i wersji poszczególnych plików można skorzystać z manifestu  dołączonego do poprawki. Wejdzie ona w skład przyszłych pakietów Service Pack (nie jest więc zawarta w SP4 dla Windows 2000). Poprawka może być w każdym momencie odinstalowana, a jej instalacja będzie wymagała restartu systemu.

Zalecane jest również zwrócenie uwagi na biuletyn MS03-027 dotyczący przepełnienia bufora w powłoce Windows Shell w systemie Windows XP oraz MS03-028 opisujący lukę w bezpieczeństwie  serwera ISA pozwalającą na atak typu cross-site scripting.