Wrześniowe biuletyny Microsoftu: łatka goni łatkę, dziurawe jest także Edge

Wrześniowe biuletyny Microsoftu: łatka goni łatkę, dziurawe jest także Edge09.09.2015 09:57
Redakcja

Jak co miesiąc, także i we wrześniu Microsoft wydał aktualizacje zabezpieczeń dla swoich produktów. Tego typu paczki udostępniane w ramach Windows Update są kluczowe dla bezpieczeństwa systemu, zachęcamy więc do ich jak najszybszego zainstalowania. Istotne jest także to, że część z nich dotyczy najnowszego systemu Windows 10: nie jest on idealny, a i nie tylko o luki bezpieczeństwa tu chodzi.

W ramach comiesięcznych biuletynów wydano łącznie 12 paczek aktualizacyjnych. Aż pięć z nich określono jako krytyczne. Pierwsza, MS15-094 to zbiorcza paczka poprawek dla przeglądarki Internet Explorer. Tego typu łatkę znaleźć możemy w Windows Update w zasadzie każdego miesiąca, Microsoft nie rozdrabnia się bowiem na poszczególne błędy. Większość ze znalezionych błędów umożliwia nieautoryzowane wykonanie zdalnego kodu i zdobycie tych samych uprawnień, jakie posiada aktualnie zalogowany użytkownik. Paczka jest przeznaczona dla systemu Windows Vista z dodatkiem SP2 i nowszych.

Paczka MS15-095 jest przeznaczona jedynie dla Windows 10 i dotyczy nowej przeglądarki Microsoft Edge. Także i w tym przypadku mowa o możliwości wykonania zdalnego kodu i zdobycia uprawnień. Do wykorzystania znalezionych luk niezbędna jest interakcja użytkownika: musi on przy pomocy Edge odwiedzić spreparowaną stronę lub witrynę, która odwołuje się do takich treści (np. reklam podmienionych na szkodliwe dane). Kolejny biuletyn, MS15-097, dotyczy podobnego problemu związanego z systemem Windows, pakietem Office, a także oprogramowaniem Lync. Kilka z podatności odkrytych w komponencie graficznym umożliwia atak z wykorzystaniem osadzonych, spreparowanych fontów OpenType. Jedna z nich umożliwia ominięcie mechanizmu Kernel Address Space Layout Randomization (KASLR), w efekcie czego jest bardzo poważnym zagrożeniem.

Czwarta krytyczna paczka, MS15-098, dotyczy zintegrowanego w systemie programu Windows Journal przeznaczonego do tworzenia notatek odręcznych. W tym przypadku zagrożenie dotyczy nie tylko możliwości nieautoryzowanego wykonania zdalnego kodu, ale również przeprowadzenia ataku typu DoS: otworzenie odpowiednio spreparowanego pliku dziennika może doprowadzić do awarii systemu i utraty danych. Wystarczy przesłać go ofierze np. za pośrednictwem maila i zachęcić do otworzenia. Ostatnia paczka o numerze MS15-099 jest związana z podatnościami odnalezionymi w pakiecie Microsoft Office 2007 i nowszych jego wersjach. W celu przeprowadzenia ataku należy nakłonić użytkownika do uruchomienia spreparowanego pliku.

Niemal wszystkie zagrożenia z tych krytycznych biuletynów dotyczą możliwości wykonania zdalnego kodu i przejęcia uprawnień aktualnie zalogowanego użytkownika. Microsoft zaznacza, że czynnikiem obniżającym ryzyko jest praca na koncie standardowym – dzięki temu rozwiązaniu, nawet jeżeli dojdzie do ataku, cyberprzestępca nie przejmie kontroli nad całym systemem i nie będzie w stanie instalować aplikacji i wykradać wszystkich danych. Podkreślamy więc, że o ile to możliwe, powinniśmy pracować na kontach z ograniczonymi uprawnieniami, tak jak to jest przyjęte w konkurencyjnych systemach. Co prawda Windows przy instalacji automatycznie tworzy dla nas konto o wysokich uprawnieniach, ale nic nie stoi na przeszkodzie, aby to zmienić. Ograniczyć ryzyko ataku możemy także stosując aplikacje chroniące przed exploitami jak np. oferowany przez korporację EMET oraz Malwarebytes Anti-Exploit.

Pozostałe siedem biuletynów posiada niższy priorytet. Dotyczą one możliwości przeprowadzenia ataku DoS na usługę Active Directory, włamanie przez otworzenie spreparowanego pliku .mcl dla Windows Media Playera, a także nieautoryzowanego podnoszenia uprawnień w serwerach Skype dla Biznesu i Lync. Oprócz tego korporacja wydała zaktualizowane paczki udostępniane już w poprzednich miesiącach i poprawki niezwiązane z bezpieczeństwem: zwiększają one niezawodność systemu i usuwają błędy związane z instalowaniem poprawek bezpieczeństwa, poprawiają łączność przy użyciu Bluetooth, działanie telemetrii w Windows 7 i nowszych, a także sklepu wbudowanego w Windows 8.1.

W przypadku Windows 10 znajdziemy zbiorczą paczkę oznaczoną numerem KB3081455. Zawiera ona zarówno wymienione wcześniej poprawki bezpieczeństwa, jak i inne poprawki. Na ich temat korporacja jednak milczy, zgodnie z przyjętą przez siebie strategią nieinformowania klientów, co takiego mogą znaleźć w paczkach dostarczanych do systemu za pośrednictwem Windows Update. Mimo wszystko zachęcamy do jak najszybszej instalacji nowych biuletynów: łatają one błędy, które mogą zostać wykorzystane do przejęcia kontroli nad komputerem. Nasze dane są natomiast zbyt cenne, aby sobie na to pozwolić.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na