Windows dziurawy bardziej niż zwykle, w marcu samo Edge ma 32 łatki

Windows dziurawy bardziej niż zwykle, w marcu samo Edge ma 32 łatki15.03.2017 10:49

Microsoft w ostatnich miesiącach bardzo się stara, by jegopartnerzy i klienci odnieśli wrażenie, że w dziedzinie strategiibezpieczeństwa w Redmond panuje bałagan. Zapowiadane zaniechaniewydawania poprawek bezpieczeństwa w postaci biuletynów nie doszłodo skutku. W drugi wtorek marca, miesiąc po niewydaniu lutowychpoprawek, spodziewaliśmy się obiecywanej od jesieni przeszukiwalnejbazy danych, Security Updates Guide. Nic z tego. Znów tradycyjnebiuletyny – i to aż 18, z czego dziewięć uznanych za krytyczne.I tak, wiele w tym luk, które były już wykorzystywane, mimo żeMicrosoft utrzymuje inaczej.

Przegląd zaczynamy tradycyjnie od biuletynów oznaczonych jakokrytyczne. Niektóre z nich łatają bezprecedensową liczbę luk.Chyba za wcześnie pochwaliliśmy Microsoft, że robi lepszą robotęniż Adobe. Nie, obie firmy mogą sobie znów podać ręce, możejeszcze zaprosić do tego kolegów z Oracle.

Wyrozumiali hakerzy nie nadużywają luk 0-day?

MS17-006to biuletyn dla Internet Explorera, który łata 12 luk. Mamy tu więcbłędy w silniku skryptowym pozwalające na zdalne uruchamianie kodu,do tego błędy w obsłudze obiektów w pamięci pozwalające nawycieki informacji, niepoprawne parsowanie adresów HTTP, lukipozwalające na podwyższenie uprawnień… czyli w sumie normalnie.Interesujące jest to, że mimo wcześniejszego publicznegoujawnienia wielu tych luk, Microsoft utrzymuje, że niemal żadna niebyła exploitowana. Jedynie CVE-2017-0149, pozwalająca na zdalneuruchomienie kodu przez uszkodzenie pamięci została oznaczona jako0-day.

Co to jest 12 luk? Microsoft Edge, załatane w biuletynieMS17-007,miało 32 luki, z czego sześć było już publicznie znanych przedzałataniem. I tym razem hakerzy mieli dobre serca, nie zdecydowalisię zdaniem Microsoftu luk tych wykorzystać w swoich atakach, mimoże mamy tu całą paletę atrakcji – błędy w parsowaniu HTTPpozwalające na phishing, wycieki informacji, a nawet uszkodzeniapamięci pozwalające na zdalne uruchomienie kodu.

Robi wrażenie też lista błędów, które były nieujawnione iniewykorzystywane w atakach – 18 (sic!) luk w silniku skryptowym,błąd w silniku PDF, trzy błędy pozwalające na obejściezabezpieczeń Edge, jedno uszkodzenie pamięci, cztery lukipozwalające na wyciek danych.

MS17-008to łatanie hiperwizora Hyper-V, cztery luki dotyczą podatności nazdalne uruchomienie kodu, sześć pozwala na ataki Denial of Service(w tym jedna na ataki na switch sieciowy), jedna umożliwia wyciekiinformacji z maszyn wirtualnych. Ponownie hakerzy mieli serce i nierobili żadnych DDoS–ów na Hyper-V, mimo że jedna z podatnościbyła publicznie znana.

MS17-009to biuletyn dla biblioteki Windows PDF. Tutaj błąd w obsłudzeobiektów w pamięci pozwalał na zdalne uruchomienie kodu.Uzłośliwiony dokument PDF otwierany w Edge wystarczył, byuruchomić w przeglądarce kod. Inne systemy niż Windows 10 byłybezpieczne.

W biuletynie MS17-010dla Windows SMB widzimy pięć luk pozwalających na zdalneuruchomienie kodu i jedną pozwalającą na wyciek informacji, ależadna z nich nie była publicznie ujawniona, żadna nie byłaexploitowana. A co z tą luką pozwalającą na zdalne zawieszenieWindowsa, o której słyszeliśmy już wcześniejod niezależnego badacza? Ona z jakiegoś powodu trafiła do innegobiuletynu.

MS17-011dotyczy Windows Uniscribe, czyli tego zestawu usług i interfejsówdo wyrafinowanej typografii. Tym razem miały one w sobie 29 luk.Osiem z nich pozwalało na zdalne uruchomienie kodu, 21 na wyciekiinformacji. Żadna luka nie była publicznie znana aniwykorzystywana.

MS17-012to taki biuletyn–worek z różnymi poprawkami. Mamy tu więc błądw obsłudze bibliotek DLL (i oczywiście zdalne uruchamianie kodu),możliwość obejścia zabezpieczeń Device Guard, wycieki informacjiz usługi DNS Windowsa, uszkodzenie pamięci w iSNS Serverze,podwyższenie uprawnień w Windows HelpPane, oraz ten wspomnianywcześniej błąd w protokole SMB 2.0 i 3.0, pozwalający na zdalnezawieszanie Windowsa. Ponownie Microsoft utrzymuje, że nikt zdalnieWindowsa zawieszać nie chciał.

Biuletyn dla Graphics Device Interface (GDI) oznaczony zostałjako MS17-013.Jest naprawdę ciekawy, tym bardziej, że mamy w nim, uwaga…nieznany wcześniej 0-day. To CVE-2017-0005, jeden z czterech błędówpozwalających na podwyższenie uprawnień. Pozostałe błędydotyczą wycieków informacji i zdalnego uruchomienia kodu(CVE-2017-0014 – znów publicznie znany, ale przez nikogo niewykorzystywany). Do biuletynu wrzucono też łatki dla MicrosoftColor Management Module, który z jakiegoś powodu pozwala na wyciekidanych z pamięci.

MS17-023to już sprawka Adobe – zbiorczy zestaw łatek dla Flash Playera.Tym razem tylko siedem dziur, wszystkie pozwalały na zdalneuruchomienie kodu.

Ważne łamane na krytyczne

Klasyfikacja luk krytycznych – kwestia umowna. Widać to poMS17-014,biuletynie uznanym za ważny, mimo że dotyczy luk pozwalających nazdalne uruchomienie kodu w Microsoft Office (także na Maku). Do tegosiedem błędów w obsłudze pamięci pozwalających na wyciekiinformacji, podatność na ataki DoS, podatność na atak XSS wSharePoint Serverze 2013 i obejście zabezpieczeń w Lyncu na Maka.

Drugi ważny biuletyn, który mógłby być krytycznym, toMS17-017.Dotyczy on czterech luk, w tym luki w kernelu Windowsa pozwalającejna podwyższenie uprawnień, która była już publicznie znana (alektórej oczywiście nie używano). Mamy tu też luki w Rejestrze,obsłudze współdzielonych folderów i Windows TransactionManagerze. Do tego mamy ciekawy MS17-018,tj. osiem luk w sterownikach trybu kernela, które również możnabyło wykorzystać do podwyższenia uprawnień.

MS17-015to biuletyn dla Microsoft Exchange Outlook Web Accessu (tam teżpodwyższenie uprawnień), MS17-016dotyczy zaś IIS Servera, który pozwalał na przeprowadzenie atakówXSS, dających dostęp do normalnie niedostępnych informacji.MS17-019to z kolei załatanie wycieków informacji z Windows Active DirectoryFederation Services, MS17-020to wyciek informacji z Windows DVD Makera (i to przez Cross-SiteRequest Forgery), zaś MS17-021to łatka na wyciek informacji z Windows DirectShow.

Stawkę zamyka MS17-022– to wyciek informacji z Microsoft XML Core Services. Lukapublicznie nieznana, a jednak aktywnie wykorzystywana w atakach.

Jedno jest pewne – przez najbliższe dni administratorzysystemów Microsoftu będą mieli sporo roboty. Łatki już w drodze,aby Windows mógł być znowu bezpieczny.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na