Łatkowy Wtorek listopada: najciekawsze aktualizacje

Od kilku dni uwaga w kwestii listopadowych aktualizacji jest skierowana w stronę Google i jego Project Zero, gdzie Mateusz Jurczyk odkrył zbiór skomplikowanych podatności w Windows, wykorzystywanych podobno w połączeniu z dziurą w Chromium. Microsoft nie był gotowy z aktualizacją na czas, więc osoby śledzące temat oczekiwały, że łatka zostanie wydana w tym miesiącu. Skradło to najwyraźniej koncentrację wielu obserwatorów. Bowiem to nie odkrycie Google jest w tym miesiącu najważniejsze.

Pakiet fiksów z listopada 2020 zawiera kilka niespodzianek, z których rewelacje Project Zero są chyba najmniej ekscytujące. Kandydatem na szczyt tegomiesięcznego podium jest wszak CVE-2020-17051, dziura w serwerze NFS, wyceniona na 9.8 w skali CVSS, a więc bardzo wysoko. Dołącza tym samym do feerii ostatnich luk w Windows, które trzeba było łatać tak szybko, jak tylko się da. Tym razem jednak usługa, o którą chodzi nie jest domyślnie włączana (zarówno w wersji klienckiej, jak i serwerowej) w Windowsach. Jeżeli jednak ktoś potrzebuje zgodności z Uniksowym NFS, powinien pilnie załatać dziurę w tym składniku, pierwszą od dawna.

Drugie miejsce powinno przypadać podatności CVE-2020-17042, znajdującej się w usłudze Bufora Wydruku. Tym razem nie odkryto jej w dziale badań Microsoftu. Autorem opracowania jest HyungSeok Han, badacz bezpieczeństwa a KAIST. Bufor Wydruku (SPOOLSV) od pewnego czasu jest ciągłym źródłem dziur w zabezpieczeniach i Microsoft wprost zadeklarował, że części z nich nie będzie naprawiać. Pamiętajaca czasy Windows NT 4.0 implementacja kiepsko zniosła dodawanie do niej nowych funkcji i warto wyłączać ją np. na kontrolerach domeny posiadanych w swojej opiece.

Pod względem "ciekawości", trzecie miejsce mogłoby przypaść ucieczce z hipernadzorcy (CVE-2020-17040) lub ukryciu przed Defenderem w wersjach nowszych od 1709 (CVE-2020-17090). Niestety, wiadomo o nich zbyt mało, by móc stwierdzić z pewnością, która luka wymagała większej zmyślności celem odkrycia. Dlatego warto zwrócić uwagę na coś innego: pakiet Office 2010, formalnie tracący wsparcie miesiąc temu, z jakiegoś powodu dostał 6 nowych łatek. Może były gotowe wcześniej? Kto wie.

Listopadowa porcja łatek jest już dostępna w Windows Update. Jeżeli kogoś nie interesuje Windows, powinien zajrzeć do Intela. Wydali właśnie aktualizacje krytyczne (CVSS 9.4) dla obsługi IPv6 i DHCP w Intel Management Engine. Podniesienie uprawnień bez uwierzytelnienia, przez sieć. Super. Montujmy dalej takie zabawki w chipsetach.