Przejdź na

Windows Update: majowe aktualizacje zabezpieczeń

Dla użytkowników Windowsa drugi wtorek miesiąca oznacza nową porcję aktualizacji. Najważniejsze poprawki dotyczą komponentów MSHTML oraz Hyper-V. Dziury nie dotyczą każdego. Kolejny raz mechanizm wyceny poziomu zagrożenia budzi wątpliwości.

Windows Update z maja 2024Windows Update z maja 2024
Źródło zdjęć: © dobreprogramy | Kamil Dudek
Kamil J. Dudek
Kamil J. Dudek

Na szczycie listy poprawek znajduje się niespodzianka: MSHTML. Jest to silnik rysujący Trident, a więc serce Internet Explorera. Zgodnie z naszymi zapowiedziami, usunięcie IE z Windowsa polegało wyłącznie na zlikwidowaniu możliwości wykorzystania go jako interaktywnej przeglądarki.

Wszystkie "wnętrzności" są dalej dostępne, ponieważ Internet Explorer był nie tylko przeglądarką, ale także obiektem osadzanym w wielu aplikacjach. Dzięki mechanizmowi OLE/ActiveX, IE był pionierem podejścia "WebView".

Windows 11: czy Internet Explorer naprawdę odszedł?
Windows 11: czy Internet Explorer naprawdę odszedł?

I właśnie ten mechanizm WebView zawiódł i wymagał naprawy w ramach podatności CVE-2024-30040. Internet Explorer, gdy zostanie wywołany jako wbudowany w aplikację pakietu Office, omija mechanizmy zabezpieczeń i ograniczeń wykonawczych dla kontrolek ActiveX i skryptów. Problem nie jest nowy: poprawkę wydano dla wszystkich obsługiwanych wersji Windows.

Dalsza część artykułu pod materiałem wideo

Hyper-V

Kolejne najwyżej wyceniane podatności (CVE-2024-30010CVE-2024-30017) znajdują się w Hyper-V. Dziura odkryta w Ant Security Light-Year Lab dotyczy interakcji ze sprzętem wirtualnym. Opis jest dość chaotyczny: złośliwie sformułowane żądania operacji plikowych względem zasobów sprzętowych mają pozwalać na zdalne wykonanie kodu na serwerze hosta. Nie jest to satysfakcjonujące wytłumaczenie, ale inne nie są dostępne.

Linux przestał działać w Hyper-V. Microsoft nie zauważył
Linux przestał działać w Hyper-V. Microsoft nie zauważył

Kilka cech majowego Łatkowego Wtorku powtarza się, kolejny raz. Przede wszystkim mowa tu o definicji ataku zdalnego. Problem z MSHTML otrzymał tak wysoką wycenę, ponieważ stwierdzono, że jest to możliwość przeprowadzenia ataku zdalnego, bez konieczności uwierzytelnienia. Taki "kaliber" CVSS problemu jest adekwatny dla dziur w usługach sieciowych.

Tymczasem CVE-2024-30040 "wymaga od użytkownika" samodzielnego pobrania i otwarcia złośliwego pliku. Atak sieciowy ma tu oznaczać pochodzenie pliku (z sieci). Na takiej zasadzie każdy atak jest sieciowy, ponieważ jest przeprowadzany w konsekwencji przeczytania o nim w internecie.

CVSS z Księżyca

Ten podważalny algorytm wyceny jest stosowany przez Microsoft już od wielu miesięcy i niezmiennie wywołuje "inflację" w procesie szacowania skali zagrożenia, podnosząc niektóre problemy do rangi znacznie poważniejszych niż ich rzeczywista skala. W zestawieniu z kumulatywną (w ujęciu miesięcznym i globalnym) naturą poprawek, prowadzi to do sytuacji, w których majowy pakiet aktualizacji jest oznaczony jako krytyczny, podczas gdy cztery główne problemy albo wcale nie są sieciowe (MSHTML, Hyper-V) albo wymagają samodzielnego nawiązania połączenia (RRAS, WDAC).

Windows 11: jak sprawdzić stan dysku przez PowerShell?
Windows 11: jak sprawdzić stan dysku przez PowerShell?

Pakiety poprawek zostaną pobrane przez Aktualizacje Automatyczne z Windows Update. Dla Windows 11, aktualizacja waży 713MB, a dla Windows 10 - 650MB. Rozmiarowo, jak zwykle, wygrywa Windows Server 2016. Aktualizacja dla niego waży 1,6GB i ma szereg wymagań wstępnych, o łącznej objętości 200MB.

Kamil J. Dudek, współpracownik dobreprogramy.pl

Wybrane dla Ciebie
ZondaCrypto. Policja ostrzega przed kolejnym oszustwem
ZondaCrypto. Policja ostrzega przed kolejnym oszustwem
NASK: prorosyjskie grupy przejmują kamery z Polski
NASK: prorosyjskie grupy przejmują kamery z Polski
Problemy po aktualizacji Windows 11. Co powoduje KB5083769?
Problemy po aktualizacji Windows 11. Co powoduje KB5083769?
mBank ostrzega przed majówką. Podał terminy przelewów
mBank ostrzega przed majówką. Podał terminy przelewów
Ważne zmiany na Facebooku. Dotyczą prywatności
Ważne zmiany na Facebooku. Dotyczą prywatności
Santander wydał komunikat. "Wracamy jako Erste Bank Polska"
Santander wydał komunikat. "Wracamy jako Erste Bank Polska"
Khaby Lame i awatar AI. Miał być wielki deal, jest rozczarowanie
Khaby Lame i awatar AI. Miał być wielki deal, jest rozczarowanie
Bruksela wykłada 63 mln euro na "cyfrową rewolucję". Kto zyska?
Bruksela wykłada 63 mln euro na "cyfrową rewolucję". Kto zyska?
Zmiany w Windows 11. Ważna deklaracja Microsoftu
Zmiany w Windows 11. Ważna deklaracja Microsoftu
Awaryjna aktualizacja .NET - odpowiedź na groźną lukę
Awaryjna aktualizacja .NET - odpowiedź na groźną lukę
Nowość w mObywatelu. Pobierz aktualizację
Nowość w mObywatelu. Pobierz aktualizację
WhatsApp testuje nowość. "Zajrzy" do wszystkich rozmów
WhatsApp testuje nowość. "Zajrzy" do wszystkich rozmów
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯