Windows 10: łatkowy wtorek w Microsofcie. Co tym razem? Niestety, dość sporo Strona główna Aktualności10.06.2020 00:12 Windows 10: łatkowy wtorek w Microsofcie. (fot. Виктория Бородинова via Pixabay) Udostępnij: O autorze Kamil J. Dudek @wielkipiec Microsoft co prawda wstrzymał aktualizacje opcjonalne dla Windows 10, ograniczył dystrybucję najnowszego wydania i wydłużył wsparcie starszych wersji, ale nie oznacza to, że zawieszono Łatkowe Wtorki. Kolejny z nich przypadł na 9 czerwca. Mimo zmniejszenia strumienia nowości i wysokiego ryzyka popsucia sprzętu ludzi pracujących zdalnie, czerwcowa partia aktualizacji jest największa w historii. Jakie są najważniejsze nowości serwowane nam właśnie przez Windows Update? Najpoważniejszą łataną luką jest dziura CVE-2020-1248, obecna w składniku GDI+ w Windows 10 1903 i nowszych. Umożliwia ona wykonanie kodu wskutek wyświetlenia złośliwego elementu (strona internetowa, dokument itp.). Nie jest konieczne wyrażanie zgody ani odblokowywanie czegokolwiek. Wystarczy wyświetlenie. Błąd znaleźli Chińczycy. Druga podatność, umożliwiająca lokalne wykonanie kodu w niespodziewanym miejscu, to CVE-2020-1281. Tutaj nie wystarczy już "dowolny element", jak poprzednio i potrzebny jest dokument obsługujący OLE. Dziura znajduje się we wszystkich obsługiwanych wersjach Windows, więc prawdopodobnie jest obecna w systemie od zawsze. Błędy w OLE to już dziś trochę retro, ale jak się właśnie okazuje, wciąż zaskakuje. Odkrywcami ponownie Chińczycy. Dużo klasyki Czołówkę zamyka dziura w SMB w wersji pierwszej, gdzie uwierzytelniony uprzednio użytkownik zdalny może wysłać pakiet, który pozwoli na wykonanie kodu. Błąd ponownie dotyczy wszystkich wersji Windows i zapewne jest mocno historyczny, ale Windows 10 domyślnie wyłącza protokół SMB1, dzięki czemu jesteśmy bezpieczni i bez aktualizacji. Niestety, cztery inne błędy znajdują się też SMB3. Podatność wykrył Nicolas Delhaye. [New Post] Here is my detailed write-up on a new #SMBv1 vulnerability named #SMBLost (CVE-2020-1301). #RCE conceivable. Find out why #SMBLost is less harmful than #SMBGhost or #EternalBlue.#PoC causing a remote #DoS available. Stay secure! 🙂➡️https://t.co/Hlk9ngsNcf pic.twitter.com/VN28aqTrhM— Nicolas Delhaye (@_Homeostasie_) June 9, 2020 Poza podium znajdują się takie urokliwe odkrycia, jak wykonanie kodu wskutek wyświetlenia ikony skrótu lub przez otwarcie pliku CAB. Nie zabrakło także pięciu dziur w silniku skryptowym Visual Basic w przeglądarce Internet Explorer (ponownie retro). Załatano również kilka dziur, które teoretycznie są poważne, ale ich wykorzystanie jest męczące. Ciekawe nowości Dziura w Zasadach Grupy wymaga uruchomienia spreparowanej aplikacji. Podobnie, jak dziura w jądrze Windows 10 oraz Usługach Tekstowych, a nawet samym modelu COM. Są to złożone, acz sztampowe ataki. W kategorii najciekawszych wygrywa co innego: wykonanie kodu tapetą ekranu blokady oraz możliwość podmiany powłoki SSH wskutek zbyt łagodnych reguł dostępu do konfiguracji serwera OpenSSH. Aktualizacje zainstalują się automatycznie podczas najbliższego okna serwisowego konserwacji. Oprogramowanie Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Windows 10 grozi "wieczna ciemność". Użytkownicy nadal narażeni na krytyczny błąd 10 cze Jakub Krawczyński Oprogramowanie Bezpieczeństwo 84 Windows 10 ostrzeże o nadchodzącym końcu wsparcia – pierwsze komunikaty już są 15 lip 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 114 Windows 10: lipcowe poprawki dostępne. Kilku błędów nie udało się uniknąć 11 lip 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 206 Windows 7. Microsoft wydał aktualizację bezpieczeństwa, ukradkiem dorzucili telemetrii 12 lip 2019 Piotr Urbaniak Oprogramowanie Bezpieczeństwo 215
Udostępnij: O autorze Kamil J. Dudek @wielkipiec Microsoft co prawda wstrzymał aktualizacje opcjonalne dla Windows 10, ograniczył dystrybucję najnowszego wydania i wydłużył wsparcie starszych wersji, ale nie oznacza to, że zawieszono Łatkowe Wtorki. Kolejny z nich przypadł na 9 czerwca. Mimo zmniejszenia strumienia nowości i wysokiego ryzyka popsucia sprzętu ludzi pracujących zdalnie, czerwcowa partia aktualizacji jest największa w historii. Jakie są najważniejsze nowości serwowane nam właśnie przez Windows Update? Najpoważniejszą łataną luką jest dziura CVE-2020-1248, obecna w składniku GDI+ w Windows 10 1903 i nowszych. Umożliwia ona wykonanie kodu wskutek wyświetlenia złośliwego elementu (strona internetowa, dokument itp.). Nie jest konieczne wyrażanie zgody ani odblokowywanie czegokolwiek. Wystarczy wyświetlenie. Błąd znaleźli Chińczycy. Druga podatność, umożliwiająca lokalne wykonanie kodu w niespodziewanym miejscu, to CVE-2020-1281. Tutaj nie wystarczy już "dowolny element", jak poprzednio i potrzebny jest dokument obsługujący OLE. Dziura znajduje się we wszystkich obsługiwanych wersjach Windows, więc prawdopodobnie jest obecna w systemie od zawsze. Błędy w OLE to już dziś trochę retro, ale jak się właśnie okazuje, wciąż zaskakuje. Odkrywcami ponownie Chińczycy. Dużo klasyki Czołówkę zamyka dziura w SMB w wersji pierwszej, gdzie uwierzytelniony uprzednio użytkownik zdalny może wysłać pakiet, który pozwoli na wykonanie kodu. Błąd ponownie dotyczy wszystkich wersji Windows i zapewne jest mocno historyczny, ale Windows 10 domyślnie wyłącza protokół SMB1, dzięki czemu jesteśmy bezpieczni i bez aktualizacji. Niestety, cztery inne błędy znajdują się też SMB3. Podatność wykrył Nicolas Delhaye. [New Post] Here is my detailed write-up on a new #SMBv1 vulnerability named #SMBLost (CVE-2020-1301). #RCE conceivable. Find out why #SMBLost is less harmful than #SMBGhost or #EternalBlue.#PoC causing a remote #DoS available. Stay secure! 🙂➡️https://t.co/Hlk9ngsNcf pic.twitter.com/VN28aqTrhM— Nicolas Delhaye (@_Homeostasie_) June 9, 2020 Poza podium znajdują się takie urokliwe odkrycia, jak wykonanie kodu wskutek wyświetlenia ikony skrótu lub przez otwarcie pliku CAB. Nie zabrakło także pięciu dziur w silniku skryptowym Visual Basic w przeglądarce Internet Explorer (ponownie retro). Załatano również kilka dziur, które teoretycznie są poważne, ale ich wykorzystanie jest męczące. Ciekawe nowości Dziura w Zasadach Grupy wymaga uruchomienia spreparowanej aplikacji. Podobnie, jak dziura w jądrze Windows 10 oraz Usługach Tekstowych, a nawet samym modelu COM. Są to złożone, acz sztampowe ataki. W kategorii najciekawszych wygrywa co innego: wykonanie kodu tapetą ekranu blokady oraz możliwość podmiany powłoki SSH wskutek zbyt łagodnych reguł dostępu do konfiguracji serwera OpenSSH. Aktualizacje zainstalują się automatycznie podczas najbliższego okna serwisowego konserwacji. Oprogramowanie Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji