Microsoft łata luki: zobacz, co ważnego w biuletynach bezpieczeństwa Strona główna Aktualności10.12.2014 16:37 Udostępnij: O autorze Łukasz Tkacz Microsoft łata swoje oprogramowanie. Ostatnia w tym roku paczka opublikowana w ramach „wtorkowych aktualizacji”, jaka pojawiła się w usłudze Windows Update to w większości łatanie znalezionych luk bezpieczeństwa w programach takich jak przeglądarka Internet Explorer, czy aplikacje wchodzące w skład pakietu Microsoft Office. Ze względu na dużą liczbę naruszeń bezpieczeństwa, zalecane jest jak najszybsze zainstalowanie poprawek. Pierwsza z nich oznaczona jako MS14-80 łata aż 14 luk w przeglądarce Internet Explorer – cóż, wygląda na to, że ostatni raport Secunii dotyczący liczby podatności wykrywanych w oprogramowaniu będzie wyglądał nieco inaczej w podsumowaniu całorocznym. Problemy zgłoszone przez użytkowników i firmy takie jak HP czy Qihoo 360 są bardzo poważne. Dotyczą możliwości obejścia mechanizmu ochronnego ASRL i zdalne wykonanie kodu w sytuacji, gdy użytkownik odwiedził odpowiednio spreparowaną stronę. Łata została oznaczona za krytyczną w przypadku komputerów osobistych, nie jest aż tak istotna dla administratorów Windows Server, gdzie Internet Explorer domyślnie korzysta z innych, bezpieczniejszych ustawień. Sporo luk znaleziono w pakiecie Office. Kolejna krytyczna paczka o oznaczeniu MS14-81 łata dwie z nich, jedną przeznaczoną dla programu Word, drugą dla webowego pakietu Office Web Apps. Również one pozwalały atakującemu na zdalne wykonanie kodu, choć w tym przypadku konieczne było przesłanie do użytkownika zainfekowanego pliku. Co ważne, na ataki podatne są także Maki. Problemy zostały wykryte przez Bena Hawkesa z grupy Google Project Zero, został on przez Microsoft wynagrodzony. Odpowiada on także za wykrycie podobnych problemów z użyciem odpowiednio spreparowanego arkusza kalkulacyjnego programu Excel (MS14-83), a także dokumentów (MS14-82). Na tym kłopoty się jednak nie kończą. Firmom SkyLined i VeriSign udało się wykonać zdalny kod (MS14-84) przy pomocy systemowego silnika odpowiedzialnego za VBScript – ponownie wystarczyło przygotować odpowiednią stronę, która pozwoliła na wykorzystanie luki i obejście zabezpieczeń. Aż cztery problemy związane z bezpieczeństwem odkryto w serwerze Exchange. Jedna z nich pozwala nawet na podniesienie uprawnień, choć ze względu na ograniczone wykorzystanie tego rozwiązania, paczka MS14-75 łatająca te błędy została oznaczona „jedynie” jako ważna. Taki sam status otrzymało odkrycie innego pracownika Google, Michała Zalewskiego znanego w Sieci także pod pseudonimem lcamtuf. Paczka MS14-85 łata błąd w systemie graficznym Windowsa, który pozwalał na wykorzystanie zmodyfikowanego pliku JPEG do przechwycenia ważnych informacji systemowych jak np. danych, w jakie obszary pamięci operacyjnej zostały załadowane niektóre elementy systemowe. Jak widać, Windows wciąż jest oprogramowaniem dziurawym i ciągle są w nim znajdowane poważne problemy związane z bezpieczeństwem. Tego typu problemów nie da się jednak uniknąć w oprogramowaniu o takiej wielkości. Sprawę z tego zdaje sobie również Adobe – ta firma także wydała paczki aktualizacyjne dla swojego oprogramowania. Sześć luk dotyczących zdalnego wykonywania kodu znaleziono we Flashu, a w Readerze i Acrobacie aż dwadzieścia. Załatano także dziurę pozwalającą na wykonywanie ataków DoS w oprogramowaniu ColdFusion. Zalecamy jak najszybsze skorzystanie z mechanizmu Windows Update, a także aktualizację całego oprogramowania zainstalowanego na komputerze – dowolny program może zawierać poważne błędy. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Dzięki najnowszym aktualizacjom Internet Explorer nie boi się ataku FREAK 11 mar 2015 Łukasz Tkacz Oprogramowanie 31 Znane menedżery haseł na Androida mają wspólną wadę – nie poznają fałszywych aplikacji 27 wrz 2018 Oskar Ziomek Oprogramowanie Bezpieczeństwo 14 Nowe aktualizacje Windowsa 10 dostępne: z systemu usunięto kilkadziesiąt błędów 21 wrz 2018 Oskar Ziomek Oprogramowanie 116 Prace nad wiosenną aktualizacją Windowsa 10 nabierają tempa. Microsoft skupia się na detalach 19 wrz 2018 Oskar Ziomek Oprogramowanie 26
Udostępnij: O autorze Łukasz Tkacz Microsoft łata swoje oprogramowanie. Ostatnia w tym roku paczka opublikowana w ramach „wtorkowych aktualizacji”, jaka pojawiła się w usłudze Windows Update to w większości łatanie znalezionych luk bezpieczeństwa w programach takich jak przeglądarka Internet Explorer, czy aplikacje wchodzące w skład pakietu Microsoft Office. Ze względu na dużą liczbę naruszeń bezpieczeństwa, zalecane jest jak najszybsze zainstalowanie poprawek. Pierwsza z nich oznaczona jako MS14-80 łata aż 14 luk w przeglądarce Internet Explorer – cóż, wygląda na to, że ostatni raport Secunii dotyczący liczby podatności wykrywanych w oprogramowaniu będzie wyglądał nieco inaczej w podsumowaniu całorocznym. Problemy zgłoszone przez użytkowników i firmy takie jak HP czy Qihoo 360 są bardzo poważne. Dotyczą możliwości obejścia mechanizmu ochronnego ASRL i zdalne wykonanie kodu w sytuacji, gdy użytkownik odwiedził odpowiednio spreparowaną stronę. Łata została oznaczona za krytyczną w przypadku komputerów osobistych, nie jest aż tak istotna dla administratorów Windows Server, gdzie Internet Explorer domyślnie korzysta z innych, bezpieczniejszych ustawień. Sporo luk znaleziono w pakiecie Office. Kolejna krytyczna paczka o oznaczeniu MS14-81 łata dwie z nich, jedną przeznaczoną dla programu Word, drugą dla webowego pakietu Office Web Apps. Również one pozwalały atakującemu na zdalne wykonanie kodu, choć w tym przypadku konieczne było przesłanie do użytkownika zainfekowanego pliku. Co ważne, na ataki podatne są także Maki. Problemy zostały wykryte przez Bena Hawkesa z grupy Google Project Zero, został on przez Microsoft wynagrodzony. Odpowiada on także za wykrycie podobnych problemów z użyciem odpowiednio spreparowanego arkusza kalkulacyjnego programu Excel (MS14-83), a także dokumentów (MS14-82). Na tym kłopoty się jednak nie kończą. Firmom SkyLined i VeriSign udało się wykonać zdalny kod (MS14-84) przy pomocy systemowego silnika odpowiedzialnego za VBScript – ponownie wystarczyło przygotować odpowiednią stronę, która pozwoliła na wykorzystanie luki i obejście zabezpieczeń. Aż cztery problemy związane z bezpieczeństwem odkryto w serwerze Exchange. Jedna z nich pozwala nawet na podniesienie uprawnień, choć ze względu na ograniczone wykorzystanie tego rozwiązania, paczka MS14-75 łatająca te błędy została oznaczona „jedynie” jako ważna. Taki sam status otrzymało odkrycie innego pracownika Google, Michała Zalewskiego znanego w Sieci także pod pseudonimem lcamtuf. Paczka MS14-85 łata błąd w systemie graficznym Windowsa, który pozwalał na wykorzystanie zmodyfikowanego pliku JPEG do przechwycenia ważnych informacji systemowych jak np. danych, w jakie obszary pamięci operacyjnej zostały załadowane niektóre elementy systemowe. Jak widać, Windows wciąż jest oprogramowaniem dziurawym i ciągle są w nim znajdowane poważne problemy związane z bezpieczeństwem. Tego typu problemów nie da się jednak uniknąć w oprogramowaniu o takiej wielkości. Sprawę z tego zdaje sobie również Adobe – ta firma także wydała paczki aktualizacyjne dla swojego oprogramowania. Sześć luk dotyczących zdalnego wykonywania kodu znaleziono we Flashu, a w Readerze i Acrobacie aż dwadzieścia. Załatano także dziurę pozwalającą na wykonywanie ataków DoS w oprogramowaniu ColdFusion. Zalecamy jak najszybsze skorzystanie z mechanizmu Windows Update, a także aktualizację całego oprogramowania zainstalowanego na komputerze – dowolny program może zawierać poważne błędy. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji