Styczniowe biuletyny Microsoftu: Windows 10 ze zdalnym dostępem do kont bez haseł

Styczniowe biuletyny Microsoftu: Windows 10 ze zdalnym dostępem do kont bez haseł13.01.2016 13:16

Pierwszy w tym roku zestaw biuletynów bezpieczeństwa odMicrosoftu nie rozczarowuje. Wśród 25 załatanych luk możemyznaleźć prawdziwe perełki, które choć jak producent Windowsutrzymuje nie zostały jeszcze wyexploitowane, to niewątpliwie jużniebawem posłużą do nowych ataków. Jak na razie u nasaktualizacja przebiegła bezproblemowo, więc zachęcamy Was doszybkiej instalacji. Użytkownicy starszych wersji „okienek”powinni jednak uważać – Microsoft najwyraźniej ulepszył swojenarzędzia do promowania Windowsa 10, zmiany w rejestrze mogą niewystarczyć już do ich wyłączenia.

Tym razem nie będzie po kolei. Najbardziej interesujący wśródstyczniowych biuletynów wydaje się MS16-007,naprawiający łącznie sześć luk w Windowsach, związanych zwalidacją danych przed załadowaniem bibliotek DLL, uwierzytelnianiaformularzy przez DirectShow i zdalnego logowania do kont bez haseł.Tak, dobrze czytacie. Windows 10 Remote Desktop Protocol pozwalałnapastnikom na zdalne zalogowanie się do profili użytkowników bezhaseł. Normalnie RDP dla takich kont jest zablokowany, jednak zjakiegoś powodu w „dziesiątce” było inaczej.

Nie obyło się bez poprawek dla Internet Explorera (MS16-001)i Microsoft Edge (MS16-002).Ta pierwsza jest prawdopodobnie ostatnią, którą starsze wersje IEotrzymają, dotyczy problemów z obsługą obiektów w pamięci przezsilnik JavaScriptu i przestrzeganiu polityk cross-domain, a jejwykorzystanie pozwala na zdalne uruchomienie złośliwego kodu. Edgemiało podobne problemy, przede wszystkim w silniku skryptowymChakra, co i w tym wypadku pozwalało na zdalne urchomieniezłośliwego kodu. Podobne (a może i te same) błędy dotycząniezależnego systemowego silnika VBScriptu i JScriptu, rozwiązanoje w poprawkach z biuletynu MS16-003.

Czwarty z kolei biuletyn (MS16-004)dotyczy Microsoft Office'a w wersjach od 2007 do 2016. Błędy wimplementacji randomizacji przestrzeni adresowej, obsłudze obiektóww pamięci i przestrzeganiu ustawień polityk kontroli dostępupozwoliły na zdalne uruchomienie złośliwego kodu z uprawnieniamizalogowanego użytkownika, który osadzić można w pliku dokumentutego pakietu biurowego. Nie ma to jak multiplatformowość: zagrożenisą też użytkownicy Maków, korzystający z Office 2011 i 2016 naswoich komputerach.

MS16-005jest poprawką dla dwóch usterek w Windowsach, z których jednapozwala na zdalne uruchomienie kodu na komputerze ofiary, któraodwiedziła odpowiednio spreparowaną stronę internetową, druga zaśdotyczy eskalacji uprawnień takiego procesu. Najbardziej zagrożenisą w tym wypadku użytkownicy Visty i Windowsa 7, w pozostałychwersjach okienek dojść może jedynie do ujawnienia wrażliwychdanych. A gdzie tkwił błąd? Tym razem zawiniła biblioteka GDI(graphics device interface), odpowiedzialna za przedstawienieobiektów graficznych i dostarczenie ich na urządzenia wyjściowe.

Kolejny multiplatformowy błąd łatany jest przez MS16-006.Dotyczy on Silverlighta, nie tylko na Windowsie, ale też na OS-ie X.Zachęcając użytkownika do odwiedzenia odpowiednio spreparowanejwitryny z treściami w Silverlighcie można uruchomić u niegozłośliwy kod. Problem dotyczy możliwości podmiany nagłówkówobiektów przetwarzanych przez złośliwy dekoder nagłówkamidostarczonymi przez napastnika.

Warty uwagi jest też biuletyn MS16-008.Przynosi on łatkę na luki, które umożliwiały wykorzystaniepunktów montowania systemu plików do eskalacji uprawnień,pozwalając napastnikowi uruchomić swój kod z uprawnieniamiadministratora. Z jakiegoś powodu nie ma biuletynu MS16-009 (czyżbyzostał w ostatniej chwili wycofany?), jest za to biuletyn MS16-010,naprawiający luki w serwerze poczty Exchange (wersje 2013 i 2016),który niewłaściwie obsługując żądania webowe pozwalał nawydobycie wrażliwych informacji użytkowników i uruchomienie u nichataków skryptowych.

Pojawiły się niestety też informacje, że wraz z instalacjąnowych biuletynów użytkownicy starszych Windowsów mogą dostaćnową łatkę, która dwa razy dziennie resetuje w rejestrzeustawienia flagi[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ WindowsUpdate\OSUpgrade\AllowOSUpgrade]do wartości 1, co sprawia, że programy takie jak GWXControl Panel, używane do zablokowania nagabywań o aktualizacjido Windowsa 10, przestają być skuteczne. Jeszcze tej łatki nieprzyłapaliśmy, ale będziemy śledzić tę sprawę i szukaćrozwiązań, tak by jednak w tej zabawie w kotka i myszkę zprzymusową darmową aktualizacją to użytkownik wygrał, a nieMicrosoft.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na