r   e   k   l   a   m   a
r   e   k   l   a   m   a

Wrześniowe biuletyny bezpieczeństwa Microsoftu: zdalne uruchamianie kodu niekoniecznie krytyczne?

Strona główna AktualnościBEZPIECZEŃSTWO

Wraz z kolejnym drugim wtorkiem miesiąca dostaliśmy od Microsoftu 14 biuletynów bezpieczeństwa. Siedem z nich zostało uznanych za krytyczne, a jedna z załatanych luk ma ponad 10 lat. Mogłoby się wydawać, że w sumie z Windowsem nie jest tak źle – Adobe w swojej ostatniej aktualizacji Flash Playera załatało 29 luk, z czego 26 pozwalało na uruchomienie złośliwego kodu. Trzeba jednak pamiętać, że niejednokrotnie jeden biuletyn zawiera łatki dla wielu luk, więc jednoznaczne stwierdzenie, komu należy się palma pierwszeństwa za najbardziej dziurawy kod wcale nie jest takie łatwe.

10 lat Detoursa – kto załata te wszystkie programy?

Zacznijmy od tego, co uznano za krytyczne w wrześniowej rundzie poprawek:

MS16-104 to zbiorcza aktualizacja bezpieczeństwa dla Internet Explorera. Za jednym zamachem załatano pięć luk pozwalających na zdalne uruchamianie kodu, trzy związane z wyciekiem informacji, jedną z eskalacją uprawnień, jedną z obejście zabezpieczeń. Luki związane były przede wszystkim z błędami w obsłudze pamięci – i wiadomo, że przynajmniej jedna z nich jest już wykorzystywana w atakach na internautów.

r   e   k   l   a   m   a

MS16-105 to zbiór poprawek dla Microsoft Edge. Tutaj załatano siedem luk pozwalających na zdalne uruchomienie kodu oraz pięć związanych z wyciekami informacji.

MS16-106 dotyczy naszych ulubionych problemów z Microsoft Graphics Component i dotyczy przede wszystkim Windowsa 10. Załatano lukę pozwalającą na zdalne uruchamianie kodu przez Graphics Device Interface (GDI), lukę pozwalającą na eskalację uprawnień przez GDI, lukę umożliwiającą wyciek informacji przez GDI oraz dwie luki w win32, związane z eskalacją uprawnień. Co ciekawe, to jest ta sama luka, którą ujęto we wcześniejszym biuletynie MS16-098 – najwyraźniej na Windowsie 10 wprowadzone wówczas poprawki okazały się niewystarczające.

MS16-107 dotyczy pakietu Microsoft Office. Usunięto łącznie 10 błędów związanych z uszkodzeniem pamięci, możliwością wycieku kluczy prywatnych z magazynu certyfikatu podczas zapisu dokumentu, obejścia zabezpieczenia randomizacji przestrzeni adresowej oraz oszukiwania Outlooka odpowiednio spreparowanymi załącznikami, których antywirusy nie zauważą.

Jest w tym biuletynie jedna ciekawostka, dotycząca biblioteki Detours do przechwytywania komunikatów (hooking engine). Jest ona powszechnie wykorzystywana w świecie Windowsa, nie tylko przez Microsoft, ale łącznie przez ponad 100 niezależnych firm software’owych. Od dziesięciu lat tkwiły w niej błędy związane z niewłaściwymi technikami przechwytywania i wstrzykiwania – błędy te mogły zostać wykorzystane m.in. do oszukiwania oprogramowania antywirusowego. To, że Microsoft załatał ją teraz dla Office, nie usuwa zagrożenia przedstawionego dokładnie podczas tegorocznej konferencji BlackHat. Na wstrzykiwanie złośliwego kodu podatnych jest tysiące innych programów, korzystających z Detours.

MS16-108 to biuletyn dla wszystkich wersji serwera Exchange. Do czynienia mamy ze zdalnym uruchamianiem kodu, przekierowywaniem żądań URL, przejęciem wrażliwych danych i eskalacją uprawnień – wystarczy wysłać e-maila z odpowiednio spreparowanym załącznikiem. Na usprawiedliwienie Microsoftu można powiedzieć, że to wina Oracle, a dokładnie wbudowanych w serwer Exchange bibliotek Oracle Outside In.

Ostatni z krytycznych biuletynów, MS16-116 naprawia luki w silniku skryptowym VBScriptu i mechanizmie OLE Automation, pozwalające na zdalne uruchomienie kodu u internautów, którzy odwiedzili złośliwą witrynę. Działa w pakiecie z MS16-104 – trzeba zainstalować oba biuletyny.

Poważne, krytyczne, a może jeszcze gorzej?

Pozostałe biuletyny uznano za poważne, choć kwestia ta może być dyskusyjna. Taki bowiem oto MS16-109, dotyczący Silverlighta, łata lukę pozwalającą na zdalne uruchomienie kodu. MS16-110 dotyczy zaś podatności 0-day, która w zależności od wersji Windowsa różni się skalą zagrożenia. Chodzi o mechanizm logowania NT LAN Managera do zasobów sieci lokalnych – z jakiegoś powodu w Windowsie 8.1 atak pozwala jedynie na pozyskanie wrażliwych danych, ale już w Windowsie 10 na zdalne uruchomienie kodu. Naprawdę to nie jest krytyczne?

W MS16-111 znajdziemy łatki dla jądra systemu: te luki pozwalały na eskalację uprawnień. MS16-112 dotyczy ekranu blokady Windowsa – pozwala on na eskalację uprawnień w razie załadowania do niego treści webowych. MS16-113 to łatka na wyciek informacji z Windows Secure Kernel Mode, zaś MS16-114 dotyczy luki w serwerze SMB, która w zależności od wersji systemu pozwala na zdalne uruchomienie kodu lub atak DoS. Na koniec wreszcie MS16-115 – to łatka na wyciek informacji z Windows PDF Library.

Uważny Czytelnik zauważy, że nie wspomnieliśmy o MS16-117. To akurat nie są łatki Microsoftu, tylko Adobe – zbiorcza poprawka dla Flash Playera dla Internet Explorera i Edge.

I jak tu czuć się bezpiecznym po takim miesiącu na współczesnym pececie?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.