Zaktualizuj Windowsa. Wydano październikowe poprawki

Biuletyn zabezpieczeń MSRC na październik na pierwszy rzut oka jest sensacyjny. Na jego szczycie znajdują się dwie podatności "wycenione" odpowiednio na 9.9 i 9.8! Te bardzo wysokie oceny zazwyczaj oznaczają podatność możliwą do wykorzystania przez sieć, niewymagającą uwierzytelnienia i umożliwiającą zdalne wykonanie kodu na prawach administracyjnych. A więc kategorię słynnych problemów z cyklu "wystarczy podpiąć komputer do sieci".

Październikowe poprawki to ostatnia aktualizacja bezpieczeństwa w przypadku Windowsa 10, w którym nie zalogowano się na konto Microsoftu online, a co za tym idzie - system nie będzie już dalej bezpieczny.

Dalej jest nie mniej interesująco. Zidentyfikowano problemy natury sprzętowej: wykorzystanie sterownika modemu (nawet nieposiadanego) do podniesienia uprawnień a także błędy w implementacji Secure Boot i TPM 2.0, składników sprzętowych wymaganych przez Windows 11. Listę sensacji zamkykają podatności w mechanizmie syntezy i rozpoznawania mowy Windows Speech.

Uważniejsza analiza pozwoli jednak odkryć, że problemy wcale nie muszą być aż tak poważne, na jakie wyglądają. Najpoważniejsza (CVSS 9.9) podatność CVE-2025-49708 okazuje się być dziurą w komponencie obsługi grafiki, a te zazwyczaj są lokalne. Bardzo mało wiadomo o samej dziurze, ale podobno da się ją wykorzystać sieciowo.

Nie wiadomo jak. Wiadomo zatem, że konieczne jest uwierzytelnienie, a składowa oceny S:C, zwiększająca wycenę poziomu zagrożenia, bierze się ze stwierdzenia, że jeżeli na komputerze są maszyny wirtualne, to można zaatakować także systemy w nich. To nieco naciągana interpretacja.

Druga dziura o wysokim poziomie zagrożenia, wynoszącym 9.8, to CVE-2025-59287 dotyczące nierozwijanego już mechanizmu WSUS. Dotyczy zatem jedynie systemów Windows Server, skonfigurowanych w specyficzny sposób. Nie jest to istotne zagrożenie. Ponadto, Microsoft sugeruje odejście od WSUS i migrację do Intune i Windows Autopatch.

Problemy sprzętowe także są mniej porywające niż się wydaje początkowo. Sterownik modemu to po prostu archaiczne rozwiązanie zewnętrznej firmy, kiepsko zaprojektowane i przestarzałe. Dlatego sterownik zostanie po prostu usunięty z systemu.

Problem z Secure Boot to tak naprawdę problem z IGEL OS i podpisanym bootloaderem, który pozwala na zbyt wiele. Notatka MSRC informuje, że "poprawka Windows zawiera aktualizacje IGEL OS", co jest nonsensownym stwierdzeniem. Zapewne po prostu odwołano podpis dla bootloadera. Kolejny raz, Microsoft odbiera prawa do uruchomienia kodu wykazującego ten sam problem, co ich własne Recovery Environment.

Nieco ciekawszy jest problem z TPM. Opublikowano wadliwą implementację jednej z funkcji (wadliwą w wykonaniu grupy Trusted Computing Group rozwijającej TPM, nie Microsoftu). TCG naprawiło swoją implementację, a Microsoft, za pomocą notatki CVE-2025-2884, wprowadziło nową implementację.

Czy to znaczy, że październikowe aktualizacje są niewarte uwagi? Przeciwnie - są bardzo ważne, łatają setki dziur, w tym wiele poważnych. Niektóre z nich są po prostu (ponownie!) opisane jako nieco ważniejsze niż w rzeczywistości. Trudno orzec, skąd w Microsofcie tak długo już trwająca tendencja do przeszacowywania zagrożeń.