r   e   k   l   a   m   a
r   e   k   l   a   m   a

Koniec biuletynów: witamy koszmar Microsoft Security Updates Guide

Strona główna AktualnościBEZPIECZEŃSTWO

Drugi wtorek kwietnia przyniósł ostatnie w historii łatki dla Windows Visty, oraz początek nowego sposobu informowania o lukach w oprogramowaniu. Zawierające listy poprawek biuletyny bezpieczeństwa, do których przywykliśmy przez tyle lat, zniknęły. Zamiast nich mamy nowy portal, Security Updates Guide, w którym znaleźć to co ważne jest sporym wyzwaniem, a informacje o wydaniu to garść ogólników.

Wprowadzenie Security Updates Guide było już kilkukrotnie przekładane, według oryginalnych planów portal ten miał ruszyć już w styczniu – i szczerze mówiąc, szkoda, że nie zostaliśmy przy przekładaniu na wieczne nigdy. Wpis na Microsoft Security Response Center trąci typową dla Apple lakonicznością: wydajemy aktualizacje bezpieczeństwa aby dostarczyć dodatkowe zabezpieczenia przeciwko złośliwym napastnikom. Rekomendowaną najlepszą praktyką jest włączenie automatycznych aktualizacji.

Lepiej nie wiedzieć, co dolega

Z informacji o wydaniu też się za wiele nie dowiecie. Mamy listę oprogramowania, które otrzymało łatki (Internet Explorer, Microsoft Edge, Windows, Microsoft Office, Visual Studio for Mac, .NET Framework, Silverlight i Flash Player), oraz kilka ogólnikowych zdań o zmianach w procedurach aktualizacji. Nie ma czym się przejmować, prawda?

r   e   k   l   a   m   a

A jednak jest. Jak już zaczniemy bawić się Security Updates Guide (po zaakceptowaniu warunków korzystania z usługi, cokolwiek by w nich nie było), znajdziemy łącznie 650 łatek na wszystkie systemy i wersje oprogramowania, a licząc po unikatowych identyfikatorach CVE – 45 odkrytych i załatanych luk. Można je na szczęście posortować po ich istotności. Przyjrzymy się bliżej głównie krytycznym.

Microsoft Edge zagrożony jest przez CVE-2017-0093 i CVE-2017-0200. Pierwszy to błąd w silniku skryptowym pozwalający na uszkodzenie pamięci i w konsekwencji zdalne uruchomienie kodu, czy to przez strony internetowe, czy dokumenty Office zawierające kontrolki ActiveX. Drugi dotyczy niepoprawnego dostępu do obiektów w pamięci, wiadomo w jakim celu.

Internet Explorer dostał łatki dla CVE-2017-0201 i CVE-2017-0202. Pierwsza to luka w silnikach skryptowych JScript i VBScript, pozwalająca na uszkodzenie pamięci i zdalne uruchomienie kodu, także przez osadzone w dokumentach kontrolki ActiveX, druga dotyczy niepoprawnego dostępu do obiektów pamięci – i oczywiście także zdalne uruchomienie kodu.

Dalej mamy poprawkę dla Microsoft Office i WordPada (CVE-2017-0199), która dotyczy błędu w przetwarzaniu dokumentów RTF (sam Microsoft pisze jedynie o specjalnie spreparowanych plikach), pozwalającego na zdalne uruchomienie kodu. Co ciekawe, w wypadku wbudowanego w system WordPada uznano zagrożenie to nie za krytyczne, ale „ważne”. Faktycznie, mało krytyczne, że korzystając z luki 0-day w systemowej aplikacji dropper w Visual Basicu pobiera sobie bankowego trojana Dridex.

Niewiele wiadomo o krytycznej luce w Outlooku CVE-2017-0106. Ot wygląda na to, że wysyłając odpowiednio spreparowanego e-maila możemy zmusić tego klienta poczty do uruchomienia własnego kodu. Nie, nie trzeba żadnych załączników, wystarczy otworzyć e-mail w skrzynce odbiorczej.

Ucieczka z Hyper-V na cztery sposoby

Mamy też oczywiście sporo ciekawych luk w samym Windowsie. Creme de la creme to tutaj CVE-2017-0162 i CVE-2017-0163, które dotyczą hiperwizora Hyper-V. Z maszyny wirtualnej można uruchomić kod, który poprzez błąd w obsłudze wirtualnego switcha sieciowego doprowadzi do wykonania dowolnego kodu na fizycznym hoście. Do tego mamy też CVE-2017-0180 i CVE-2017-0181, które również dotyczą takiej ucieczki z maszyny wirtualnej. I tyle po przekonaniu o bezpieczeństwie płynącym z wirtualizacji.

CVE-2017-158 dotyczy błędu w silniku skryptowym VBScript, pozwalającego na zdalne uruchomienie kodu przed wszelkie programy wykorzystujące silnik renderujący Internet Explorera, CVE-2017-0205 dotyczy zaś uszkodzeń pamięci w Microsoft Edge, też pozwalających na zdalne uruchomienie kodu. Dlaczego zostały one przypisane do luk w Windowsie, a nie w samych przeglądarkach – trudno powiedzieć. Ot taki bałagan.

Mamy też luki pozwalające na zdalne uruchomienie kodu przez .NET Framework (CVE-2017-0160) oraz cały zbiór atrakcji dla Flash Playera, opisanych w biuletynie Adobe APSB17-10, tym razem jedynie siedem luk RCE.

Dla mnie ważne, dla ciebie też ważne

Warto też wspomnieć o błędzie CVE-2017-0210 w Internet Explorerze, związanym z niewłaściwym stosowaniem polityk uruchamiania kodu między domenami. Możliwe do osiągnięcia w ten sposób podwyższenie uprawnień jest aktywnie exploitowane, dla Microsoftu to jednak tylko „ważny” problem.

Jako „ważne” określono też błędy w win32 – dwa pozwalające na wyciek informacji z kernela NT (CVE-2017-0058 i CVE-2017-0188) i jeden zapewniający podwyższenie uprawnień uruchamianego kodu (CVE-2017-0189). Informacje wyciekają też z Windowsa przez bibliotekę libjpeg (CVE-2013-6629). Tak, chodzi o lukę z 2013 roku, załataną na Linuksie jakieś cztery lata temu.

Inna ciekawostka, oznaczona jako 2017-2605, to błąd w filtrze EPS w Microsoft Office, pozwalającym na zdalne uruchomienie kodu. Tutaj luki nie załatano, Microsoft po prostu domyślnie włączony filtr dla popularnego przecież formatu wyłączył. Jak ktoś koniecznie musi korzystać z plików EPS w Office, to czeka go zabawa z Rejestrem.

Jak widzicie, informacje o wydaniu łatek nawet w przybliżeniu nie poruszają powagi zagrożeń, a samodzielne rozpoznanie sytuacji poprzez ten koszmarny portal, który nawet nie potrafi porządnie sortować, grupować i filtrować danych, zajmuje znacznie więcej czasu, niż klasyczne zapoznanie się z biuletynami.

Wyłączyliśmy łatki dla Ryzena, wyłączyliśmy łatki dla Carizzo

By dołożyć łyżkę dziegciu do tej beczki dziegciu, wspomnijmy o ciekawym efekcie ubocznym pakietów łatek KB4015549, KB4015546, KB4015550 oraz KB4015547 przeznaczonych dla Windows 7 i 8.1. Z jakiegoś powodu blokują one otrzymywanie aktualizacji przez Windows Update na komputerach z procesorami AMD Carizzo. Problem ma być rozwiązany w przyszłości. Może się komuś Carizzo z Ryzenem pomyliło?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.