r   e   k   l   a   m   a
r   e   k   l   a   m   a

Lutowe biuletyny Microsoftu: nie tylko Adobe ma problemy z PDF-em

Strona główna AktualnościBEZPIECZEŃSTWO

Za nami kolejny drugi wtorek miesiąca, przed nami obowiązkowe łatanie oprogramowania Microsoftu. W porównaniu do styczniowych biuletynów bezpieczeństwa jest znacznie gorzej – poprawki dotyczą aż 41 luk w zabezpieczeniach. Są wśród nich luki pozwalające na zdalne ataki przez przeglądarki Internet Explorer i Microsoft Edge, ale też z wykorzystaniem wbudowanej w system wyświetlarki PDF-ów i pakietu Office.

Zacznijmy od krytycznego, zbiorczego biuletynu MS16-011, przeznaczonego dla użytkowników Windows 10. Rozwiązuje on problemy z nieprawidłowym parsowaniem odpowiedzi HTTP, co pozwala na przekierowanie ofiary na stronę serwującą złośliwy kod. Poprawiono obsługę wyjątków przy przekazywaniu wiadomości do okienek – w pewnych okolicznościach napastnik mógł wykorzystać to do obejścia zabezpieczeń randomizacji przestrzeni adresowej (ASLR). Usunięto też liczne błędy w uzyskiwaniu dostępu do obiektów w pamięci, co pozwalało na uruchomienie własnego kodu z uprawnieniami zalogowanego użytkownika.

Pod numerkiem MS16-009 (nie wiemy dlaczego – MS16-010 jest łatką jeszcze ze stycznia) udostępniono zestaw łatek dla Internet Explorera, dotyczących przestrzegania polityk bezpieczeństwa międzydomenowego, obsługi obiektów w pamięci, walidacji przy linkowaniu i osadzaniu obiektów przy ładowaniu bibliotek i parsowaniu odpowiedzi HTTP. Błędy te określono jako krytyczne – pozwalają na zdalne uruchomienie kodu na komputerze ofiary.

r   e   k   l   a   m   a

Do luk w przeglądarkach Microsoftu zdążyliśmy się przyzwyczaić. MS16-012 mówi jednak o niepoprawnej obsłudze interfejsu programowania w Windows PDF Library. Doprowadzenie do przepełnienia bufora pozwala na uruchomienie złośliwego kodu osadzonego w spreparowanych dokumentach PDF, otwieranych w Windows Readerze.

Jeśli ktoś korzysta z systemu notatek Windows Journal, to z biuletynu MS16-013 dowie się, że i notatka może pozwolić na uruchomienie złośliwego kodu. Dotknięte tym są praktycznie wszystkie wersje Windowsów, od Visty po 10. Problem dotyczy błędów w parsowaniu plików z notatkami, odpowiednio spreparowana notatka może zawierać złośliwy kod, który zostanie uruchomiony.

Idziemy teraz w głąb, do samego systemu. Zbiorczy biuletyn MS16-014 określono jako „ważny”. Dotyczy problemów z niewłaściwą obsługą obiektów w pamięci, pozwalających na Windows Vista i 7 uzyskanie uprawnień administracyjnych, niepoprawej walidacji danych na wejściu przed ładowaniem plików DLL, pozwalających na uruchmienie kodu z uprawnieniami zalogowanego użytkownika, podatności na zdalny atak Denial of Service usługi SyncShareSvc, oraz możliwości obejścia uwierzytelnienia przez mechanizm Kerberos i w konsekwencji odszyfrowania dysków chronionych BitLockerem. To ostatnie przypomina nieco MS15-122 z zeszłego roku, kiedy to pokazano, jak wykorzystać złośliwy kontroler domeny do oszukania systemu uwierzytelniania Windowsów.

Poprawki z zeszłego miesiąca dla Remote Desktop Protocol najwyraźniej nie wystarczyły! Biuletyn MS16-017 mówi o możliwości zalogowania się do Windowsów po RDP – i w trakcie tego logowania wysłania odpowiednio spreparowanych pakietów, co pozwala na podwyższenie uprawnień (nawet do poziomu administratora) i zdalne uruchomienie złośliwego kodu. Na szczęście domyślnie w systemie RDP jest wyłączony. Podobny problem dotyczy protokołu WebDAV, biuletyn MS16-016 wspomina o możliwości uprawnień dla uwierzytelnionych użytkowników, oraz sterowników trybu kernela (MS16-018)

Łącznie sześć błędów związanych z obsługą pamięci przez Microsoft Office obejmuje biuletyn MS16-015. Dotyczą one praktycznie wszystkich wersji tego pakietu biurowego, co gorsza nie tylko na Windowsy, ale też na Maki. O ile poprawka dla „okienek” została wydana, użytkownicy Maków nie dostali jeszcze niczego (otrzymają powiadomienie, gdy łatki będą dostępne). Miejmy nadzieję, że nastąpi to zanim hakerzy metodami odwrotnej inżynierii zlokalizują te błędy. Sytuacja jest groźna, gdyż wykorzystanie tych luk pozwala na uruchomienie osadzonego w dokumencie dowolnego kodu z uprawnieniami zalogowanego użytkownika.

Finalnie należy wspomnieć o trzech biuletynach MS16-019, MS16-020 oraz MS16-021, związanych z podatnościami na ataki Denial-of- Service w .NET Frameworku, Windows Serverze 2012 R2 oraz serwerze uwierzytelniania sieci Radius.

Biorąc pod uwagę rozmiar opisanego tu oprogramowania, Microsoft nie jest jeszcze taki zły. W wydanych wczoraj łatkach dla samego tylko Flash Playera, Adobe załatało 22 luki. Wszystkie one pozwalają na zdalny atak. Ktoś jeszcze chce używać Flasha w imię tych wszystkich fajnych gierek webowych?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.