Grudniowe biuletyny bezpieczeństwa Microsoftu: 75 podatności i wyciek prywatnych kluczy

Grudniowe biuletyny bezpieczeństwa Microsoftu: 75 podatności i wyciek prywatnych kluczy09.12.2015 12:54

Znów za nami drugi wtorek miesiąca, znów Microsoft wydał swojebiuletyny bezpieczeństwa, mające ochronić maszyny z Windows przednajnowszymi zagrożeniami. Tym razem dostaliśmy ich tuzin, łącznieobejmujących 75 luk – i znów na pierwszym planie są problemy zprzeglądarkami z Redmond. To jednak nie wszystko. Mówi się oprzykrej wpadce firmowego działu bezpieczeństwa, któregopracownicy zaoferowali hakerom fajny prezent, tj. klucze prywatne docertyfikatu SSL/TLS dla domeny xboxlive.com.

Przyjrzyjmy się jednak tym łatkom po kolei. MS15-124to biuletyn zbiorczych łatek, eliminujących liczne, krytyczne lukiw Internet Explorerze w wersjach od 7 do 11, pozwalające na zdalneuruchomienie wrogiego kodu z uprawnieniami zalogowanego użytkownika.Zbyt wiele informacji nie ujawniono, wiemy jedynie, że chodziło oobsługę obiektów w pamięci przez IE i silnik VBScriptu,niewłaściwe zachowanie filtru XSS, błędy w przetwarzaniu typówtreści i polityk międzydomenowych.

Co ciekawe, tym razem Microsoft Edge miało więcej luk niżInternet Explorer. Również krytyczny biuletyn MS15-125,oprócz łatek pokrywających się z tymi, które dostał IE,eliminuje też podatność pozwalającą na obejście randomizacjiprzestrzeni adresowej (ASLR), błędy w parsowaniu odpowiedzi HTTPoraz dodaje walidację uprawnień do przeglądarki.

Nowe luki znaleziono też w silniku VBScriptu – ale dotyczą onejuż tylko Visty i Windows Servera 2008. Biuletyn MS15-126mówi o możliwości zdalnego wykonania kodu przez spreparowanewitryny, exploitujące podatności Internet Explorera, albo osadzaniukontrolek ActiveX w dokumentach Microsoft Office, którewykorzystywałyby silnik renderujący przeglądarki.

Kolejna luka dotyczy tylko Windows Servera, w tym najnowszego 2012R2. Jeśli ktoś znalazł upodobanie w trzymaniu usługi DNS naoprogramowaniu Microsoftu, to powinien szybko zainstalować krytycznybiuletyn MS15-127,pozwalający na zdalne uruchomienie na serwerze złośliwego kodu.Serwerowi jest wysyłana po prostu odpowiednio spreparowane żądanierozwiązania adresu domenowego, wykorzystujące podatność typu useafter free. Zaatakowany serwer uruchomi kod z uprawnieniami lokalnegoużytkownika.

Dla domowych użytkowników Windowsa znacznie bardziejinteresująco wygląda biuletyn MS15-128.Oczywiście krytyczny, a przy tym dotyczący ogromnie popularnegooprogramowania. Luka pozwalająca na zdalne uruchamianie kodu tkwiław błędnej obsłudze fontów webowych przez systemową bibliotekę.Wystarczyło więc zwabić użytkownika na stronę zawierającązłośliwe fonty, by zaatakować w ten sposób zarówno wszystkiewspierane obecnie wersje Windows, jak i wszystkie wspierane wersje.NET Frameworka, biznesowe komunikatory Lync 2010, 2013 i Skype forBusiness 2016, a także Microsoft Office 2007 i 2010 i odtwarzaczuSilverlight.

Jeszcze nie macie dosyć? Biuletyn MS-129dotyczy już tylko Silverlighta. Odpowiednio spreparowana aplikacjawebowa mogła poprzez załataną właśnie lukę uruchomić zdalniekod, a także naruszyć uprawnienia dostępu do odczytu i zapisu wlokalnym systemie plików. Problem dotyczył parsowania adresówinternetowych i zachowania spójności pamięci przy randomizacji jejprzestrzeni adresowej (ASLR). Niejako potwierdziła się przy tymwieloplatformowość Silverlighta – atak działał też na Maku.

Biuletyn MS15-128 nie wyczerpał wszystkich problemów z fontami.Otóż dla Windows 7 i Windows Servera 2008 dostaliśmy krytycznybiuletyn MS15-130,który rozwiązuje problem w interfejsach programowania Uniscribe,wykorzystywanych do zaawansowanej kontroli typograficznej. Błądparsowania pozwalał napastnikowi nie tylko na uruchamianie własnegokodu, ale też na przeglądanie i modyfikowanie danych w systemie czytworzenie nowych kont użytkownika z pełnymi uprawnieniami.

Niewiele jest podobnie potencjalnie groźnych formatów danych, codokumenty Microsoft Office – chyba tylko PDF może z nimikonkurować. Krytyczny biuletyn MS15-131dotyczy właśnie ich. Błędy w obsłudze obiektów w pamięcipozwalały na zdalne wykonanie kodu przemyconego w spreparowanychdokumentach Worda i Excela, zagrożone są tu nawet najnowsze wersjeOffice (w tym 2016), nie tylko na Windowsa, ale też na Maka. Nawetzwykły Microsoft Excel Viewer jest tu dobrą powierzchnią ataku.Wygląda na to, że ataki wykorzystujące tę lukę już trwają.

Niestety na tym nie koniec. Cztery kolejne, już niekrytycznebiuletyny dotyczą zagrożeń oznaczonych już tylko jako poważne(MS15-132, MS15-133, MS15-134, i MS15-135). Dotyczą przetwarzaniadanych na wejściu przez załadowaniem bibliotek systemowych, błęduw protokole Windows Pragmatic General Multicast, pozwalającego napodwyższenie uprawnień, niewłaściwego parsowania linków przezWindows Media Center (nie ma lekko, plik .mcl też może zawieraćzłośliwe oprogramowanie) oraz błędów w kernelu NT pozwalającychna podwyższenie uprawnień i ataki DoS. Niestety wiadomo już, żeMS-135 jest aktywnie wykorzystywane w atakach.

Wspomnieć należy też o poradzie 3123040,według której doszło do niechcącego ujawnienia kluczy prywatnychdla certyfikatu dla domeny *.xboxlive.com. Mogły być onewykorzystane do ataków typu man-in-the-middle. Certyfikat zostałjuż unieważniony, firma z Redmond aktualizuje listę zaufanychcertyfikatów we wszystkich systemach z rodziny Windows, byzlikwidować zagrożenie.

Nie ma co się jednak specjalnie obrażać na Microsoft. Chwilęwcześniej swoje zestawyłatek dla Flash Playera wydało Adobe. Łatają one niebagatelne75 luk pozwalających na zdalne wykonanie kodu i trzy pozwalające naobejście zabezpieczeń systemowych. Widać tu, że Flash jestprawdziwie multiplatformowy. Lukami cieszyć się mogli nie tylkoużytkownicy „okienek”, ale też Maka, Linuksa i Androida, obecnebyły nie tylko we Flashu, ale też w Adobe AIR i AIR SDK. Producent Flasha ma na swoje usprawiedliwienie chyba tylko to, że w przeciwieństwie do Microsoftu, nie opowiada, że w nieautoryzowanych kopiach jego oprogramowania kryje się złośliwe oprogramowanie. Po grudniowym cyklu łatek widać, że Windows, Flash i Java wciąż są zakałami cyberbezpieczeństwa, jednak to tylko wtyczki Flasha i Javy chce się przecież wysłać na emeryturę.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na