r   e   k   l   a   m   a
r   e   k   l   a   m   a

Listopadowe biuletyny bezpieczeństwa Microsoftu naprawiają co trzeba, ale już w styczniu z nimi koniec

Strona główna AktualnościBEZPIECZEŃSTWO

Drugi wtorek miesiąca był nie tylko dniem udostępnienia listopadowych łatek Microsoftu, lecz także premiery nowego Security Updates Guide, witryny, która w jednym miejscu zbierze wszystko to, co należy wiedzieć o zabezpieczeniach oprogramowania z Redmond. To odpowiedź na żądania lepszego dostępu do informacji – dotychczasowy system oddzielnie publikowanych biuletynów był po prostu niewygodnym reliktem przeszłości. Microsoft Security Response Center zachwala, że teraz będzie można wygodnie informacje o bezpieczeństwie sortować, filtrować i przeszukiwać. Od stycznia 2017 roku tradycyjne biuletyny bezpieczeństwa po prostu znikną.

Edge to już więcej niż Internet Explorer z nowym UI

Przejdźmy jednak do sedna sprawy, ponieważ bez tych nowych łatek korzystanie z Windowsów jest ryzykowne.

Spośród 14 biuletynów, sześć zostało określonych jako krytyczne, zacznijmy więc od nich:

r   e   k   l   a   m   a

MS16-129 to zbiorcza łatka dla przeglądarki Edge. Łata aż 17 różnych dziur, jest wśród nich 12 podatności pozwalających na zdalne uruchomienie kodu, związanych zarówno z uszkodzeniami pamięci jak i błędnm przetwarzaniem danych przez silnik skryptowy. Cztery luki dotyczą wycieków wrażliwych informacji, jedna zaś możliwości fałszowania odpowiedzi HTTP i przekierowania użytkownika na złośliwe strony.

MS16-130 naprawia błędy w ładowaniu bibliotek DLL przez moduł WIME (Windows Input Method Editor) oraz działaniu Harmonogramu Zadań oraz renderowania pliku obrazu. Wykorzystując je, napastnik może zarówno zdalnie uruchomić kod, jak i podwyższyć jego uprawnienia do poziomu administratora.

MS16-131 jest związany z komponentem Microsoft Video Control. Odpowiednio spreparowany klip wideo może zawierać kod, który zostanie uruchomiony z uprawnieniami zalogowanego użytkownika, wykorzystując błąd w przetwarzaniu obiektów w pamięci. Oczywiście należy w tym celu nakłonić użytkownika do otworzenia pliku, co nie jest jednak trudne – ilu Zwykłych Użytkowników odmówi sobie kliknięcia w filmik o nazwie „uroczy kotek liże łapkę.avi”?

MS16-132 – no cóż, drugi wtorek miesiąca byłby nudny bez luk w Microsoft Graphics Component. Znowu oczywiście chodzi o błąd w obsłudze fontów, ale nie tylko, błędy w przetwarzaniu danych znaleziono też w menedżerze animacji i bibliotece mediów. Wszystkie one pozwalają na zdalne uruchomienie kodu. Uwaga – Microsoft utrzymuje, że żaden z tych błędów nie jest exploitowany. Badacze z firmy Qualys twierdzą, że to nieprawda – luka CVE-2016-7256 w menedżerze fontów OpenType to 0-day. Co więcej, tkwi tam jeszcze jeden błąd – jego wykorzystanie pozwala napastnikowi na pozyskanie wrażliwych informacji o systemie.

MS16-141 to aktualizacja wbudowanego komponentu Adobe Flash, która zawiera dziewięć łatek opublikowanych przez Adobe, wszystkie oczywiście pozwalają na zdalne uruchamianie kodu.

MS16-142 to zbiorcza aktualizacja bezpieczeństwa dla Internet Explorera, naprawiająca problemy z obsługą obiektów w pamięci i wykorzystaniem filtrów XSS przy przetwarzaniu wyrażeń regularnych. Znów mamy do czynienia z możliwością zdalnego uruchomienia kodu. Warto zauważyć, że tym razem biuletyn dla IE nie pokrywa się zawartością z biuletynem dla Edge – widać, że te problemy z nową przeglądarką Microsoftu nie dotyczą już odziedziczonego kodu, to nowe niedoróbki.

Co jest ważne, a co ważne nie jest?

Pozostałe biuletyny są ważne, choć wydaje się, że to nie do końca jest tak.

Zaskakująca jest bowiem decyzja o określeniu biuletynu MS16-135 jedynie jako „ważnego”. Dotyczy on m.in. ujawnionej przez Google luki, która jest obecnie exploitowana przez kilka grup cyberprzestępczych. Microsoft utrzymuje bowiem, że stosowane ataki nie działają wobec najnowszych zabezpieczeń jądra, wprowadzonych wraz z Rocznicową Aktualizacją Windowsa 10. Znajdziemy tu także łatki dla kilku luk w sterownikach działających w trybie kernela.

MS16-133, biuletyn oznaczony jako ważny, dotyczy Microsoft Office. Łącznie dziesięć luk związanych z uszkodzeniami pamięci pozwala na zdalne uruchomienie kodu, ataki DoS oraz wyciek wrażliwych danych.

MS16-134 naprawia błędy w systemie logowania Windowsów – niewłaściwa obsługa obiektów w pamięci przez sterownik pozwala lokalnemu napastnikowi na uzyskanie uprawnień administracyjnych.

MS16-136 przeznaczony jest dla użytkowników SQL Servera. W microsoftowym silniku baz danych i dodatkowych jego narzędziach odkryto 10 luk, związanych z możliwością uzyskania uprawnień administracyjnych (zła obsługa wskaźników), wycieku informacji i podatności na ataki XSS.

MS16-137 to łatka dla mechanizmu uwierzytelniania Windows NTLM – obecna tam luka pozwalała na uzyskanie uprawnień administracyjnych. Rozwiązuje to też problem z wyciekiem wrażliwych informacji z chronionego trybu Virtual Secure Mode i podatności na ataki DoS.

MS16-139 dotyczy samego kernela. Jego API źle obsługiwało uprawnienia, pozwalając napastnikom na uzyskanie uprawnień administratora.

Ostatnim biuletynem w tym miesiącu jest MS16-140. Tutaj załatana została luka pozwalająca fizycznie obecnemu napastnikowi na obejście zabezpieczeń Boot Managera i wgranie na podatne urządzenie własnych sterowników i plików uruchamialnych w trakcie rozruchu systemu.

Pozostaje teraz czekać na ostatnią edycję grudniowych biuletynów – walka o uszczelnianie Windowsów nie ma przecież końca.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.