Windows i styczniowe aktualizacje - ostatnie dla Windows 7

Windows i styczniowe aktualizacje - ostatnie dla Windows 711.01.2023 07:14
Laptop z systemem Windows 10
Laptop z systemem Windows 10
Źródło zdjęć: © Pixabay

Pierwsze wydanie aktualizacji z Redmond w roku 2023 to zarazem ostatnie dla Windows 7 i 8.1. Katalog poprawek MSRC wzbogacił się w tym miesiącu o 2278 wpisów, ale rzeczywistych łatek jest znacznie mniej.

Wysoka liczba notatek związanych z aktualizacjami dla Windowsów wynika z tego, że - jak zwykle - większość to powtórki: te same problemy zaraportowane np. dla piętnastu systemów jednocześnie. Notatek CVE jest mniej, a prawdziwie palących problemów jest raptem kilkanaście. Choć niektóre z nich są poważne, rok 2023 otwieramy tu bez szczególnych niespodzianek. Najważniejsze są "bezdotykowe" dziury, umożliwiające atak z sieci bez uwierzytelniania.

Ponieważ dziury Windowsa są odkrywane przez poszukiwaczy koncentrujących się na danym zagadnieniu przez wiele miesięcy, niektóre komponenty pojawiają się na liście poprawek kilka razy z rzędu, a potem na jakiś czas znikają. Podobnie jest i tym razem. Na górze listy znajdują się CVE-2023-21732CVE-2023-21681, które dotyczą łączności ODBC z MSSQL. Ciekawe, poważne - ale niszowe.

LDAP, ALPC, Crypto

Dalej w kolejności możemy zobaczyć problem z LDAP na kontrolerach domeny (CVE-2023-21676) oraz ucieczkę z sandboksa z wykorzystaniem ALPC (CVE-2023-21674). MSRC obfituje też w zbiór podatności w usługach kryptograficznych (m.in. CVE-2023-21561) - ale tym razem nie takich, które pozwalają na kradzież tożsamości lub oszukiwanie w podpisach. CryptSvc ma być wykorzystywany do nieuprawnionego podniesienia uprawnień do poziomu użytkownika SYSTEM.

Dalsza część artykułu pod materiałem wideo

Czy warto kupić smartwatch Garmin Venu Sq2?

VPN

Dobrą wiadomością nigdy nie są dziury w obsłudze VPN-ów i tunelowania, a te ostatnio mają ich dziesiątki. Pewnym pocieszeniem jest fakt, że wszystkie z nich (np. CVE-2023-21535) wymagają zaaranżowania wysoce skomplikowanych okoliczności wstępnych, by dało się je wykorzystać. Z drugiej jednak strony osiem notatek CVE jednego dnia dla L2TP i SSTP to mało zachęcająca wiadomość. A ma to miejsce już kolejny miesiąc.

Aktualizacje pojawiły się w Windows Update wtorkowym wieczorem i zainstalują się automatycznie (jeżeli system funkcjonuje poprawnie). Dla Windows Server 2016 jest to półtora gigabajta, dla najnowszego Windowsa 10 - 701 megabajtów, a paczka dla ostatniej Jedenastki waży jedynie 273 megabajty. Są one, jak zawsze, kumulatywne. Stąd ich duża objętość.

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

Programy

Aktualizacje
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (103)