r   e   k   l   a   m   a
r   e   k   l   a   m   a

Grudniowe biuletyny bezpieczeństwa Microsoftu: 75 podatności i wyciek prywatnych kluczy

Strona główna AktualnościBEZPIECZEŃSTWO

Znów za nami drugi wtorek miesiąca, znów Microsoft wydał swoje biuletyny bezpieczeństwa, mające ochronić maszyny z Windows przed najnowszymi zagrożeniami. Tym razem dostaliśmy ich tuzin, łącznie obejmujących 75 luk – i znów na pierwszym planie są problemy z przeglądarkami z Redmond. To jednak nie wszystko. Mówi się o przykrej wpadce firmowego działu bezpieczeństwa, którego pracownicy zaoferowali hakerom fajny prezent, tj. klucze prywatne do certyfikatu SSL/TLS dla domeny xboxlive.com.

Przyjrzyjmy się jednak tym łatkom po kolei. MS15-124 to biuletyn zbiorczych łatek, eliminujących liczne, krytyczne luki w Internet Explorerze w wersjach od 7 do 11, pozwalające na zdalne uruchomienie wrogiego kodu z uprawnieniami zalogowanego użytkownika. Zbyt wiele informacji nie ujawniono, wiemy jedynie, że chodziło o obsługę obiektów w pamięci przez IE i silnik VBScriptu, niewłaściwe zachowanie filtru XSS, błędy w przetwarzaniu typów treści i polityk międzydomenowych.

Co ciekawe, tym razem Microsoft Edge miało więcej luk niż Internet Explorer. Również krytyczny biuletyn MS15-125, oprócz łatek pokrywających się z tymi, które dostał IE, eliminuje też podatność pozwalającą na obejście randomizacji przestrzeni adresowej (ASLR), błędy w parsowaniu odpowiedzi HTTP oraz dodaje walidację uprawnień do przeglądarki.

r   e   k   l   a   m   a

Nowe luki znaleziono też w silniku VBScriptu – ale dotyczą one już tylko Visty i Windows Servera 2008. Biuletyn MS15-126 mówi o możliwości zdalnego wykonania kodu przez spreparowane witryny, exploitujące podatności Internet Explorera, albo osadzaniu kontrolek ActiveX w dokumentach Microsoft Office, które wykorzystywałyby silnik renderujący przeglądarki.

Kolejna luka dotyczy tylko Windows Servera, w tym najnowszego 2012 R2. Jeśli ktoś znalazł upodobanie w trzymaniu usługi DNS na oprogramowaniu Microsoftu, to powinien szybko zainstalować krytyczny biuletyn MS15-127, pozwalający na zdalne uruchomienie na serwerze złośliwego kodu. Serwerowi jest wysyłana po prostu odpowiednio spreparowane żądanie rozwiązania adresu domenowego, wykorzystujące podatność typu use after free. Zaatakowany serwer uruchomi kod z uprawnieniami lokalnego użytkownika.

Dla domowych użytkowników Windowsa znacznie bardziej interesująco wygląda biuletyn MS15-128. Oczywiście krytyczny, a przy tym dotyczący ogromnie popularnego oprogramowania. Luka pozwalająca na zdalne uruchamianie kodu tkwiła w błędnej obsłudze fontów webowych przez systemową bibliotekę. Wystarczyło więc zwabić użytkownika na stronę zawierającą złośliwe fonty, by zaatakować w ten sposób zarówno wszystkie wspierane obecnie wersje Windows, jak i wszystkie wspierane wersje .NET Frameworka, biznesowe komunikatory Lync 2010, 2013 i Skype for Business 2016, a także Microsoft Office 2007 i 2010 i odtwarzaczu Silverlight.

Jeszcze nie macie dosyć? Biuletyn MS-129 dotyczy już tylko Silverlighta. Odpowiednio spreparowana aplikacja webowa mogła poprzez załataną właśnie lukę uruchomić zdalnie kod, a także naruszyć uprawnienia dostępu do odczytu i zapisu w lokalnym systemie plików. Problem dotyczył parsowania adresów internetowych i zachowania spójności pamięci przy randomizacji jej przestrzeni adresowej (ASLR). Niejako potwierdziła się przy tym wieloplatformowość Silverlighta – atak działał też na Maku.

Biuletyn MS15-128 nie wyczerpał wszystkich problemów z fontami. Otóż dla Windows 7 i Windows Servera 2008 dostaliśmy krytyczny biuletyn MS15-130, który rozwiązuje problem w interfejsach programowania Uniscribe, wykorzystywanych do zaawansowanej kontroli typograficznej. Błąd parsowania pozwalał napastnikowi nie tylko na uruchamianie własnego kodu, ale też na przeglądanie i modyfikowanie danych w systemie czy tworzenie nowych kont użytkownika z pełnymi uprawnieniami.

Niewiele jest podobnie potencjalnie groźnych formatów danych, co dokumenty Microsoft Office – chyba tylko PDF może z nimi konkurować. Krytyczny biuletyn MS15-131 dotyczy właśnie ich. Błędy w obsłudze obiektów w pamięci pozwalały na zdalne wykonanie kodu przemyconego w spreparowanych dokumentach Worda i Excela, zagrożone są tu nawet najnowsze wersje Office (w tym 2016), nie tylko na Windowsa, ale też na Maka. Nawet zwykły Microsoft Excel Viewer jest tu dobrą powierzchnią ataku. Wygląda na to, że ataki wykorzystujące tę lukę już trwają.

Niestety na tym nie koniec. Cztery kolejne, już niekrytyczne biuletyny dotyczą zagrożeń oznaczonych już tylko jako poważne (MS15-132, MS15-133, MS15-134, i MS15-135). Dotyczą przetwarzania danych na wejściu przez załadowaniem bibliotek systemowych, błędu w protokole Windows Pragmatic General Multicast, pozwalającego na podwyższenie uprawnień, niewłaściwego parsowania linków przez Windows Media Center (nie ma lekko, plik .mcl też może zawierać złośliwe oprogramowanie) oraz błędów w kernelu NT pozwalających na podwyższenie uprawnień i ataki DoS. Niestety wiadomo już, że MS-135 jest aktywnie wykorzystywane w atakach.

Wspomnieć należy też o poradzie 3123040, według której doszło do niechcącego ujawnienia kluczy prywatnych dla certyfikatu dla domeny *.xboxlive.com. Mogły być one wykorzystane do ataków typu man-in-the-middle. Certyfikat został już unieważniony, firma z Redmond aktualizuje listę zaufanych certyfikatów we wszystkich systemach z rodziny Windows, by zlikwidować zagrożenie.

Nie ma co się jednak specjalnie obrażać na Microsoft. Chwilę wcześniej swoje zestawy łatek dla Flash Playera wydało Adobe. Łatają one niebagatelne 75 luk pozwalających na zdalne wykonanie kodu i trzy pozwalające na obejście zabezpieczeń systemowych. Widać tu, że Flash jest prawdziwie multiplatformowy. Lukami cieszyć się mogli nie tylko użytkownicy „okienek”, ale też Maka, Linuksa i Androida, obecne były nie tylko we Flashu, ale też w Adobe AIR i AIR SDK. Producent Flasha ma na swoje usprawiedliwienie chyba tylko to, że w przeciwieństwie do Microsoftu, nie opowiada, że w nieautoryzowanych kopiach jego oprogramowania kryje się złośliwe oprogramowanie. Po grudniowym cyklu łatek widać, że Windows, Flash i Java wciąż są zakałami cyberbezpieczeństwa, jednak to tylko wtyczki Flasha i Javy chce się przecież wysłać na emeryturę.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.