Przejdź na

Łatkowy Wtorek listopada: najciekawsze aktualizacje

Od kilku dni uwaga w kwestii listopadowych aktualizacji jest skierowana w stronę Google i jego Project Zero, gdzie Mateusz Jurczyk odkrył zbiór skomplikowanych podatności w Windows, wykorzystywanych podobno w połączeniu z dziurą w Chromium. Microsoft nie był gotowy z aktualizacją na czas, więc osoby śledzące temat oczekiwały, że łatka zostanie wydana w tym miesiącu. Skradło to najwyraźniej koncentrację wielu obserwatorów. Bowiem to nie odkrycie Google jest w tym miesiącu najważniejsze.

Łatkowy Wtorek listopada (fot. TanteTati, Pixabay)Łatkowy Wtorek listopada (fot. TanteTati, Pixabay)
Kamil J. Dudek
Kamil J. Dudek

NFS

Pakiet fiksów z listopada 2020 zawiera kilka niespodzianek, z których rewelacje Project Zero są chyba najmniej ekscytujące. Kandydatem na szczyt tegomiesięcznego podium jest wszak CVE-2020-17051, dziura w serwerze NFS, wyceniona na 9.8 w skali CVSS, a więc bardzo wysoko. Dołącza tym samym do feerii ostatnich luk w Windows, które trzeba było łatać tak szybko, jak tylko się da. Tym razem jednak usługa, o którą chodzi nie jest domyślnie włączana (zarówno w wersji klienckiej, jak i serwerowej) w Windowsach. Jeżeli jednak ktoś potrzebuje zgodności z Uniksowym NFS, powinien pilnie załatać dziurę w tym składniku, pierwszą od dawna.

SPOOLSV

Drugie miejsce powinno przypadać podatności CVE-2020-17042, znajdującej się w usłudze Bufora Wydruku. Tym razem nie odkryto jej w dziale badań Microsoftu. Autorem opracowania jest HyungSeok Han, badacz bezpieczeństwa a KAIST. Bufor Wydruku (SPOOLSV) od pewnego czasu jest ciągłym źródłem dziur w zabezpieczeniach i Microsoft wprost zadeklarował, że części z nich nie będzie naprawiać. Pamiętajaca czasy Windows NT 4.0 implementacja kiepsko zniosła dodawanie do niej nowych funkcji i warto wyłączać ją np. na kontrolerach domeny posiadanych w swojej opiece.

2009 czy 20H2? A kto by się tam przejmował! (fot. Kamil Dudek)
2009 czy 20H2? A kto by się tam przejmował! (fot. Kamil Dudek)

Hyper-V? Defender? Office?

Pod względem "ciekawości", trzecie miejsce mogłoby przypaść ucieczce z hipernadzorcy (CVE-2020-17040) lub ukryciu przed Defenderem w wersjach nowszych od 1709 (CVE-2020-17090). Niestety, wiadomo o nich zbyt mało, by móc stwierdzić z pewnością, która luka wymagała większej zmyślności celem odkrycia. Dlatego warto zwrócić uwagę na coś innego: pakiet Office 2010, formalnie tracący wsparcie miesiąc temu, z jakiegoś powodu dostał 6 nowych łatek. Może były gotowe wcześniej? Kto wie.

Listopadowa porcja łatek jest już dostępna w Windows Update. Jeżeli kogoś nie interesuje Windows, powinien zajrzeć do Intela. Wydali właśnie aktualizacje krytyczne (CVSS 9.4) dla obsługi IPv6 i DHCP w Intel Management Engine. Podniesienie uprawnień bez uwierzytelnienia, przez sieć. Super. Montujmy dalej takie zabawki w chipsetach.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zagrożenia w sieci. Na nie narażone są dzieci
Zagrożenia w sieci. Na nie narażone są dzieci
Sextortion: na czym polega internetowy szantaż?
Sextortion: na czym polega internetowy szantaż?
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Masz mObywatela? Niektóre funkcje będą niedostępne
Masz mObywatela? Niektóre funkcje będą niedostępne
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟