Aktualizacja Windows. Poprawki dostępne do pobrania
Wrześniowy pakiet aktualizacji Windows wydaje się być nieco mniej pilny niż kilka ostatnich, wciąż jednak dostarcza zestaw istotnych poprawek bezpieczeństwa. Jednym z ciekawszych składników, które są łatane, jest sam Windows Update.
Najważniejszą poprawką jest aktualizacja kumulatywna dla Windows 10, likwidująca podatność CVE-2024-43491. Jest ona związana z nieprawidłową obsługą komponentów opcjonalnych podczas instalowania aktualizacji stosu serwisowego. Wysoki poziom skomplikowania usługi Windows Update oraz jej lokalnego instalatora (TrustedInstaller) sprawiły, że w końcu zaszła sytuacja w której nakładanie aktualizacji było wadliwe.
Problem byłby bardzo poważny (niezałatane luki mimo zainstalowanych poprawek), gdyby... dotyczył większej liczby systemów. Tymczasem błąd w Windows Update dotyczy wyłącznie wersji 2015 LTSB, czyli najstarszej kompilacji Windows 10, w wersji Enterprise. Co ciekawe, łatkę otrzymał też klient aktualizacji automatycznych Microsoftu dla systemów Mac (CVE-2024-43492).
Dalsza część artykułu pod materiałem wideo
TCP/IP
Wśród likwidowanych podatności, uwagę zwracają dwie dziury w TCP/IP, pozwalające na przejęcie kontroli nad komputerem poprzez wysłanie złośliwego pakietu. Niedawno, problem takiego rodzaju był bardzo poważny i dotyczył IPv6. Dziury w samym stosie sieciowym to groźna sprawa, niemożliwa do zmitygowania zaporą, która działa "wyżej".
Tym razem jednak, dziury w TCP/IP (CVE-2024-21416 i CVE-2024-38045) dotyczą niestandardowych konfiguracji (usługa NetNAT) w niestandardowo zachowujących się sieciach, wymagając przy okazji szczegółowej znajomości systemu padającego ofiarą ataku. Jest to zatem o wiele mniejszy problem niż "bezdotykowa" dziura w implementacji IPv6.
libarchive
Windows doczekał się też poprawki związanej z komponentem libarchive, dostarczającym obsługę archiwów RAR (CVE-2024-43495). Możliwe było wykonanie kodu podczas dekompresji złośliwego archiwum. Choć problem dotyczy libarchive, wydaje się być ograniczony do Windows. Samo libarchive ostatnio wydało nową wersję w kwietniu.
Tym razem Microsoft poprawnie obliczył metryki podatności, opisując ją jako lokalną - a nie sieciową tylko dlatego, że "trzeba pobrać złośliwy plik". Nie oznacza to jednak końca problemów z przeszacowywaniem podatności w Microsofcie, bowiem dziura w MMC, CVE-2024-38259, niewątpliwie lokalna, została opisana jako możliwa do zdalnego wykorzystania.
Aktualizacja dla Windows 10 waży 660MB, dla Windows 11 - 737MB, a zbiór poprawek dla niewydanej jeszcze oficjalnie wersji 24H2 to już 509MB. Jak zwykle największą aktualizację przygotowano dla Windows Server 2016. Wszystkie poprawki są dostępne w Wykazie Microsoft Update, ale oczywiście pobiorą je samodzielnie Aktualizacje Automatyczne.
