Microsoft wydał swoje ostatnie biuletyny bezpieczeństwa – a łatek coraz więcej

To już ostatnia w tym roku runda łatania Windowsa. Dostaliśmyod Microsoftu 12 grudniowych biuletynów bezpieczeństwa, w tym 6krytycznych. Z tych łatek lepiej skorzystać jak najszybciej, gdyżkilka z podatności jest już publicznie znanych, i wykorzystującychje ataków należy spodziewać się lada moment (producent Windowsówtwierdzi, że ich zastosowania jeszcze nie odnotowano).

Jak to zwykle bywa, jedną z głównych luk w Windowsie jestwbudowana przeglądarka. MS16-144dotyczy łącznie ośmiu błędów w Internet Explorerze – dwatkwią w silniku skryptowym, dwa związane są z obsługą obiektóww pamięci, jeden pozwala na obejście zabezpieczeń polityki SameOrigin, a trzy na wyciek informacji. Spośród tych błędów,publicznie ujawnione zostały CVE-2016-7282, CVE-2016-7281, oraz conajgorsze CVE-2016-7202, pozwalający na zdalne uruchomienie kodu.

MS16-145to zbiór poprawek dla przeglądarki Edge. Tu też jest nieźle. Wsamym silniku skryptowym pięć błędów związanych z uszkodzeniempamięci, a do tego błąd pozwalający na obejście polityki SameOrigin, trzy błędy związane z wyciekiem informacji, i dwa zniewłaściwą obsługą obiektów w pamięci. Trzy spośród tychbłędów zostały publicznie ujawnione – CVE-2016-7206,CVE-2016-7282, oraz CVE-2016-7281, Microsoft zapewnia jednak, żenikt z nich nie korzysta w atakach na użytkowników jegoprzeglądarki.

Były przeglądarki, musi być nasz ulubiony Microsoft GraphicsComponent. MS16-146opisuje dwa błędy związane z obsługą obiektów w pamięcipozwalają na zdalne uruchomienie kodu, oraz jeden związany zwyciekiem informacji. Właściwie należałoby dodać do tejkategorii też MS16-147,który dotyczy mechanizmu Uniscribe, wykorzystywanego do rysowaniaskomplikowanych fontów. Taki skomplikowany typograficznie fontpozwala w Windowsach na zdalne uruchomienie kodu.

Swoje problemy ma też Microsoft Office. W biuletynie MS16-148załatano łącznie 16 podatności, związanych z podniesieniemuprawnień w module automatycznej aktualizacji, licznymi wyciekamiinformacji, obejściami zabezpieczeń, uszkodzeniami pamięci, anawet możliwością ładowania obcego kodu przez podstawionąbibliotekę DLL. Uwaga, niektóre z tych błędów dotyczą teżużytkowników Office dla Maka, jedna z nich, CVE-2016-7298, pozwalanawet na zdalne uruchomienie kodu na komputerach Apple.

Biuletyn MS16-154to gościnnie występujące aktualizacje Flash Playera. Łączniesiedem błędów use-after-free pozwalających na zdalne uruchomieniekodu, cztery błędy przepełnienia buforu, pięć błędówuszkodzeń pamięci, i jeden błąd pozwalający na obejsciezabezpieczeń. Zamiast tych wszystkich poprawek, może po prostuMicrosoft powinien wysłać nam łatkę raz a dobrze usuwającą zsystemu Flash Playera? Tego nie da się przecież naprawic.

Oprócz tych krytycznych biuletynów dostajemy sześć, któreokreślono jako ważne. I tak kolejno MS16-149to błędy w sterowniku kryptografii, które pozwalają na ujawnienieinformacji, oraz błędy w instalatorze Windows, pozwalające napodwyższenie uprawnień. MS16-150to dotyczy błędu w Windows Secure Kernel Mode, pozwalającym napodwyższenie uprawnień. MS16-151naprawia zaś błędy w sterownikach pracujących w trybie kernela –i tutaj pozwalają one na podwyższenie uprawnień.

Dalej mamy MS16-152,dotyczący błędnej obsługi przez kernel NT wyjątków Page Fault(błędów stronicowania), co prowadzić może do ujawnieniainformacji, MS16-153dotyczy wycieków informacji ze sterownika mechanizmu logówsystemowych, a MS16-155to zbiorcza aktualizacja .NET Frameworka, związana z możliwościąwycieku danych przez Framework Data Provider for SQL Server.

To wszystko na 2016 rok, który zakończył się wydaniem łącznie155 biuletynów bezpieczeństwa, o 20% więcej niż w rokupoprzednim. Zapraszamy do łatania Windowsów w roku następnym, już bez biuletynów. Zastąpi je Microsoft Security Response Center, który informacje o bezpieczeństwie pozwoli wygodnie sortować, filtrować i przeszukiwać.