Ostatnie aktualizacje do Windows 7. Przed czym chronią?

We wtorek, 14 stycznia późnym wieczorem, na Windows Update oraz WSUS pojawiły się comiesięczne aktualizacje do wszystkich obsługiwanych produktów Microsoftu. Wśród nich nie zabrało również Windows 7, miało to jednak miejsce po raz ostatni. Większość poprawnie skonfigurowanych systemów pobrała dziś odpowiednie paczki i zapewne wyświetla ponaglenia o konieczności ponownego uruchomienia.

Co takiego znajduje się w aktualizacjach KB4534310 oraz KB4534314? Arek pisał niedawno o pogłoskach na temat luki w Usługach Kryptograficznych Windows, ale zidentyfikowana w nich podatność (CVE-2020-0601) wydaje się dotyczyć jedynie nowszych wersji systemu. Niemniej, Siódemka otrzymała w Windows Update poprawki dla pięciu luk w zabezpieczeniach.

Pierwsza luka (CVE-2020-0607) dotyczy błędu w działaniu komponentów obsługi grafiki w Windows. Atak wymaga lokalnej interakcji w postaci otwarcia spreparowanego pliku. Wykorzystanie dziury jest trudne, a zdobyte dzięki niej informacje nie są krytycze: ułatwiają jedynie dalsze rozpoznanie. Podobne własności wykazuje druga luka graficzna, tym razem w GDI+, czyli CVE-2020-0643.

Kolejna na liście (CVE-2020-0608)jest dziura w przeklętym komponencie Win32k, czyli mechanizmowi obsługi API Win32 na poziomie jądra systemu. Obecność owego komponentu jawnie przeczy oryginalnemu projektowi NT i wynika z presji marketingowej na stworzenie "szybkiej wersji NT" około 25 lat temu. Do dziś płacimy cenę za tę decyzję. Ponownie, podatność dotyczy wszystkich wersji Windows, jej wykorzystanie wymaga lokalnego dostępu i uruchomienia spreparowanej aplikacji, a zdobyte dane nie umożliwiają podniesienia uprawnień i wykonywania działań na prawach systemu.

Ostatnimi łatkami do Windows 7 są poprawki dla CVE-2020-0639 oraz CVE-2020-0615. Obie dotyczą luk w mało znanym komponencie CLFS, wbudowanym w system API do tworzenia i wypełniania wysokowydajnych logów transakcyjnych. Jego zaletą jest, naturalnie, multipleksowanie, pozwalające na nieblokujący zapis z wielu źródeł. Trend jest zachowany: wymagany lokalny dostęp, niemożliwe wykonanie arbitralnego kodu i podniesienie uprawnień. CVSS 5.

To typowa transza fiksów. Na każdą wielką dziurę typu BlueKeep, na każdą superpodatność typu "zdalna eskalacja uprawnień do SYSTEM przez plik kursora na podstawionej witrynie" jest 20 innych, mniejszych dziur, których nie da się łatwo wykorzystać. Podobnie jest tym razem, więc jeżeli ktoś ma napięty harmonogram, z obecnymi aktualizacjami nie musi się spieszyć.

Mało widowiskowa natura większości poprawek sprawia, że wiele osób twierdzi, że są zbędne. To nieprawda. Podobną nieprawdą jest, że przed tymi samymi podatnościami ochroni antywirus, czego dowodziliśmy na portalu już niejednokrotnie. Aktualizacje Windows, zwłaszcza te serwowane dziś jako jedna wielka paczka, zawsze naprawiają więcej, niż piszą noty wydawnicze.

Ponadto, nowe oprogramowanie standaryzuje na baseline'ie opartym o aktualny w momencie wydania poziom updatów. Obsługa techniczna w dodatku przegania klientów przyznających się do niezaktualizowanego systemu. Doprawdy trudno znaleźć zalety pomijania aktualizacji. Oszczędzenie trzech minut miesięcznie i uchronienie się przed losem jednego pechowca z krzykliwego nagłówka tematu na forum to nieco za mało.

Jeżeli komuś nie spieszy się do Windows Update ze względu na niski wpływ styczniowych luk na bezpieczeństwo, być może zmieni zdanie gdy dowie się o innych poprawkach. Podatności CVE-2020-0651 oraz CVE-2020-0650 to dziury w programie Microsoft Excel, pozwalającą na lokalne wykonanie kodu. Nie chodzi tu o makra! To bowiem nie jest podatność. Tym razem wystarczy po prostu otworzyć spreparowany plik. Obecnie nie jest jasne, czy ryzyko występuje podczas samego wyświetlania miniaturki arkusza w Eksploratorze. Jeżeli tak, to jest srogo.

Drodzy Czytelnicy! Instalujcie aktualizacje. Nie ma nic awangardowego ani buntowniczego w uchylaniu się od tego. Naprawdę.