Windows Update: oto poprawki w październikowym Patch Tuesday

Windows Update: oto poprawki w październikowym Patch Tuesday

Łatkowy Wtorek października
Łatkowy Wtorek października
Źródło zdjęć: © Inne | ulleo
Kamil J. Dudek
12.10.2022 07:53

W systemach Windows nadszedł czas na kolejny, październikowy Łatkowy Wtorek. Większość łatanych dziur dotyczy problemów lokalnych, nie ma w tym miesiącu żadnych hitów. Ale to głównie dlatego, że Microsoft nie zdążył załatać Exchange'a...

Najwyżej wycenione w tym miesiącu podatności dotyczą mechanizmu ODBC, czyli programowych sterowników do komunikacji z bazami danych. Problem dotyczy zarówno Accessa (CVE-2022-38040), jak i SQL Servera (CVE-2022-38031, CVE-2022-37982). Ponieważ ODBC jest przezroczyste sieciowo, dziury są klasyfikowane jako zdalne wykonanie kodu.

Dalej w kolejce czeka ciąg dalszy wykrytych niedawno problemów w usłudze certyfikatów Active Directory, czyli zdalne podniesienie uprawnień przez DCOM (CVE-2022-37976). Podstawowe modele programistyczne Windowsa coraz gorzej znoszą próbę czasu. Kolejnymi dowodami na to są bowiem dziury w głównej usłudze serwera (chodzi o NT LAN Manager, usługę obecną także w klienckich Windowsach) oraz mechanizmie LSA, choć tylko lokalnie (CVE-2022-38045CVE-2022-38016).

LANMAN, czyli OS/2 straszy zza grobu
LANMAN, czyli OS/2 straszy zza grobu© Inne | Kamil Dudek

Głównym tematem zdalnych ataków w tym miesiącu są jednak podatności w protokole PPTP, czyli wariackiej implementacji pewnego rodzaju VPN-a, autorstwa Microsoftu. Dziur jest cały arsenał: CVE-2022-38000, CVE-2022-30198, CVE-2022-33634, CVE-2022-24504, CVE-2022-41081, CVE-2022-38047. Wszystkie mają jedną cechę wspólną, w postaci osoby która je znalazła: jest nią Yuki Chen, ponownie.

Nie tylko Windows

Mówiąc, że w tym miesiącu brakuje hitów, mamy tu na myśli samego Windowsa. Wykryto bowiem dziurę w konektorze Azure Arc, oceniono ją na 10 punktów CVSS, czyli jest to zdalny atak "od zera do admina bez wymagań wstępnych". Oznacza to zatem możliwość zdalnego przejęcia klastra Kubernetes. Szczegóły tej wtopy, oraz opis mitygacji, znajdują się w notatce CVE-2022-37968.

Zobacz także:
Windows Server, IPv6 i SQL, czyli Łatkowy Wtorek września
Windows Server, IPv6 i SQL, czyli Łatkowy Wtorek września

Kandydatem na ważną aktualizację byłaby łatka na podatność ProxyNotShell w serwerze Microsoft Exchange, wykorzystywaną aktywnie przez włamywaczy. Ale nie będzie: Microsoft nie zdążył opracować poprawki. Zamiast tego sugeruje mitygacje.

Poprawki na pozostałe błędy są już dostępne w Windows Update. Dla Dziesiątki pakiet waży 683 megabajty, dla Windows 11 jest to tylko 241 megabajtów.

Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl

Programy

Zobacz więcej
it.prooprogramowaniewindows
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (31)