Listopadowe biuletyny bezpieczeństwa Microsoftu naprawiają co trzeba, ale już w styczniu z nimi koniec
Drugi wtorek miesiąca był nie tylko dniem udostępnienialistopadowych łatek Microsoftu, lecz także premiery nowego SecurityUpdates Guide, witryny, która w jednym miejscu zbierze wszystkoto, co należy wiedzieć o zabezpieczeniach oprogramowania z Redmond.To odpowiedź na żądania lepszego dostępu do informacji –dotychczasowy system oddzielnie publikowanych biuletynów był poprostu niewygodnym reliktem przeszłości. Microsoft SecurityResponse Center zachwala, że teraz będzie można wygodnieinformacje o bezpieczeństwie sortować, filtrować i przeszukiwać.Od stycznia 2017 roku tradycyjne biuletyny bezpieczeństwa po prostuznikną.
Edge to już więcej niż Internet Explorer z nowym UI
Przejdźmy jednak do sedna sprawy, ponieważ bez tych nowych łatekkorzystanie z Windowsów jest ryzykowne.
Spośród 14 biuletynów, sześć zostało określonych jakokrytyczne, zacznijmy więc od nich:
MS16-129to zbiorcza łatka dla przeglądarki Edge. Łata aż 17 różnychdziur, jest wśród nich 12 podatności pozwalających na zdalneuruchomienie kodu, związanych zarówno z uszkodzeniami pamięci jaki błędnm przetwarzaniem danych przez silnik skryptowy. Cztery lukidotyczą wycieków wrażliwych informacji, jedna zaś możliwościfałszowania odpowiedzi HTTP i przekierowania użytkownika nazłośliwe strony.
MS16-130naprawia błędy w ładowaniu bibliotek DLL przez moduł WIME(Windows Input Method Editor) oraz działaniu Harmonogramu Zadańoraz renderowania pliku obrazu. Wykorzystując je, napastnik możezarówno zdalnie uruchomić kod, jak i podwyższyć jego uprawnieniado poziomu administratora.
MS16-131jest związany z komponentem Microsoft Video Control. Odpowiedniospreparowany klip wideo może zawierać kod, który zostanieuruchomiony z uprawnieniami zalogowanego użytkownika, wykorzystującbłąd w przetwarzaniu obiektów w pamięci. Oczywiście należy wtym celu nakłonić użytkownika do otworzenia pliku, co nie jestjednak trudne – ilu Zwykłych Użytkowników odmówi sobiekliknięcia w filmik o nazwie „uroczy kotek liże łapkę.avi”?
MS16-132– no cóż, drugi wtorek miesiąca byłby nudny bez luk w MicrosoftGraphics Component. Znowu oczywiście chodzi o błąd w obsłudzefontów, ale nie tylko, błędy w przetwarzaniu danych znaleziono teżw menedżerze animacji i bibliotece mediów. Wszystkie one pozwalająna zdalne uruchomienie kodu. Uwaga – Microsoft utrzymuje, że żadenz tych błędów nie jest exploitowany. Badacze z firmy Qualystwierdzą,że to nieprawda – luka CVE-2016-7256 w menedżerze fontówOpenType to 0-day. Co więcej, tkwi tam jeszcze jeden błąd – jegowykorzystanie pozwala napastnikowi na pozyskanie wrażliwychinformacji o systemie.
MS16-141to aktualizacja wbudowanego komponentu Adobe Flash, która zawieradziewięć łatek opublikowanych przez Adobe, wszystkie oczywiściepozwalają na zdalne uruchamianie kodu.
MS16-142to zbiorcza aktualizacja bezpieczeństwa dla Internet Explorera,naprawiająca problemy z obsługą obiektów w pamięci iwykorzystaniem filtrów XSS przy przetwarzaniu wyrażeń regularnych.Znów mamy do czynienia z możliwością zdalnego uruchomienia kodu.Warto zauważyć, że tym razem biuletyn dla IE nie pokrywa sięzawartością z biuletynem dla Edge – widać, że te problemy znową przeglądarką Microsoftu nie dotyczą już odziedziczonegokodu, to nowe niedoróbki.
Co jest ważne, a co ważne nie jest?
Pozostałe biuletyny są ważne, choć wydaje się, że to nie dokońca jest tak.
Zaskakująca jest bowiem decyzja o określeniu biuletynu MS16-135jedynie jako „ważnego”. Dotyczy on m.in. ujawnionejprzez Google luki, która jest obecnie exploitowana przez kilka grupcyberprzestępczych. Microsoft utrzymuje bowiem, że stosowane atakinie działają wobec najnowszych zabezpieczeń jądra, wprowadzonychwraz z Rocznicową Aktualizacją Windowsa 10. Znajdziemy tu takżełatki dla kilku luk w sterownikach działających w trybie kernela.
MS16-133,biuletyn oznaczony jako ważny, dotyczy Microsoft Office. Łączniedziesięć luk związanych z uszkodzeniami pamięci pozwala na zdalneuruchomienie kodu, ataki DoS oraz wyciek wrażliwych danych.
MS16-134naprawia błędy w systemie logowania Windowsów – niewłaściwaobsługa obiektów w pamięci przez sterownik pozwala lokalnemunapastnikowi na uzyskanie uprawnień administracyjnych.
MS16-136przeznaczony jest dla użytkowników SQL Servera. W microsoftowymsilniku baz danych i dodatkowych jego narzędziach odkryto 10 luk,związanych z możliwością uzyskania uprawnień administracyjnych(zła obsługa wskaźników), wycieku informacji i podatności naataki XSS.
MS16-137to łatka dla mechanizmu uwierzytelniania Windows NTLM – obecna tamluka pozwalała na uzyskanie uprawnień administracyjnych. Rozwiązujeto też problem z wyciekiem wrażliwych informacji z chronionegotrybu Virtual Secure Mode i podatności na ataki DoS.
MS16-139dotyczy samego kernela. Jego API źle obsługiwało uprawnienia,pozwalając napastnikom na uzyskanie uprawnień administratora.
Ostatnim biuletynem w tym miesiącu jest MS16-140.Tutaj załatana została luka pozwalająca fizycznie obecnemunapastnikowi na obejście zabezpieczeń Boot Managera i wgranie napodatne urządzenie własnych sterowników i plików uruchamialnych wtrakcie rozruchu systemu.
Pozostaje teraz czekać na ostatnią edycję grudniowychbiuletynów – walka o uszczelnianie Windowsów nie ma przecieżkońca.