Így búcsúztatja a nyarat a Microsoft

A Microsoft kiadta az idei nyár utolsó hibajavításait, amikkel elsősorban a Windows és az Internet Explorer esetében foltozott be kritikus biztonsági réseket.
 

A Microsoft a múlt heti előzetes közleményének szellemében összesen kilenc biztonsági közleményt tett elérhetővé. Ezek közül kettő kapott kritikus veszélyességi besorolást, míg a többi fontos minősítéssel jelent meg. A legsúlyosabb sérülékenységek ezúttal is az Internet Explorert, valamint a Windows-t sújtják, így ezek frissítésére különös figyelmet kell fordítani. Ráadásként a webböngésző egy új védelmi funkciót is kapott, amelynek révén lehetőség adódik a régebbi verziójú, sebezhetőségekkel tarkított ActiveX vezérlők letiltására. Kezdetben ez a szolgáltatás a Java naprakész mivoltát ellenőrzi, és – hasonlóan a Google Chrome vagy a Firefox böngészőkhöz - figyelmeztet, ha elavult kiadás található a számítógépen.
 
A javított Internet Explorer

Az elmúlt hónapokban az Internet Explorerhez tucatjával érkeztek a hibajavítások, és az augusztus is meglehetősen mozgalmasan alakult a webböngésző szempontjából. A Microsoft ugyanis nem kevesebb mint 26 sebezhetőséget orvosolt az alkalmazás kapcsán. A kritikus veszélyességű hibák szinte kivétel nélkül memóriakezelési rendellenességekre vezethetők vissza, és jogosulatlan távoli kódfuttatást tehetnek lehetővé a támadók számára. A sérülékenységek annál több művelet végrehajtására adhatnak módot, minél több jogosultság birtokában futtatja a szoftvert a felhasználó. A biztonsági rések speciálisan összeállított weboldalakon keresztül válhatnak kihasználhatóvá, és a böngésző jelenleg támogatott összes kiadását veszélyeztetik.
 
Windows foltok

Az augusztusi hibajavító kedden kritikus veszélyességi besorolással jelent meg az a közlemény, amely a Windows Media Centert érinti. A sebezhetőség olyan speciálisan szerkesztett Office állományok megnyitásakor okozhat problémákat, amelyek Windows Media Center által kezelt erőforrásokat is használnak. A biztonsági hiba révén a számítógépek feletti irányítás teljes mértékben átvehetővé válhat, különösen akkor, ha a felhasználó rendszergazdai jogosultságokkal is rendelkezik. A sérülékenység miatt a Windows 7, a Windows 8 Professional és a Windows 8.1 Professional kiadásokat kell frissíteni.
 
A Windows a kritikus hibajavítás mellett további frissítéseket is kapott. Ezek az egyik kernelmódú drivert (win32k.sys), a Windows Installer szolgáltatást és az LRPC-t (Local Remote Procedure Call) érintik. Ez utóbbi komponens hibája révén a támadók megkerülhetik az ASLR (Address Space Layout Randomization) védelmet. A másik két hiba pedig kizárólag akkor használható ki, ha a támadó előzőleg be tud jelentkezni a helyi rendszerbe. A sérülékenységek miatt az összes jelenleg támogatással rendelkező Windows kiadás frissítésre szorul.
 
SQL Server javítás

A Microsoft az SQL Server üzemeltetői számára is adott munkát, mivel két fontos javítással rukkolt elő. Ezek közül az első, és egyben nagyobb biztonsági kockázattal járó sérülékenységet az MDS (Master Data Services) tartalmazza, amely tulajdonképpen egy XSS (cross-site scripting) hibát rejt. Emiatt a támadók kliensoldali scripteket szúrhatnak be a weboldalakba, webes tartalmakat manipulálhatnak vagy akár adatszivárgást is előidézhetnek.  A másik sebezhetőség pedig szolgáltatásmegtagadási támadásokat segíthet elő. A biztonsági rés kiaknázásával az elkövetők válaszképtelenné tehetik az adatbázis kiszolgálókat, amelyek az újraindításukig teljesen megbénulhatnak. A legújabb frissítéseket az SQL Server 2008/2008 R2/2012/2014 kiadásainak esetében kell telepíteni.
 
.Net Framework frissítés

A Microsoft keretrendszere egy olyan frissítést kapott, amelynek révén biztonsági megkötések megkerülésére adódhat lehetőség. A sebezhetőség a támadókat abban segítheti, hogy az ASLR (Address Space Layout Randomization) által nyújtott védelmen áthatoljanak. Ez a sérülékenység önmagában nem képes jogosulatlan kódfuttatásban részt venni, de egyéb hibák társaságában jelentősebb károkozást segíthet elő. A sebezhetőség a .Net Framework 2.0-ás, a 3.5-ös, valamint a 3.5.1-es verzióit sújtja.
 
SharePoint Server rendellenesség

A SharePoint Server 2013 egy olyan hibajavítással gyarapodott, amely jogosultsági szint emelést segíthet elő. A sebezhetőség révén a támadónak jogosulatlan kódfuttatásra nyílhat lehetősége, illetve tetszőleges JavaScriptek felhasználásával végezhet különféle manipulációkat. Ehhez azonban arra is szükség van, hogy be tudjon jelentkezni a SharePoint Serverre, majd az így létrejövő biztonsági kontextusnak megfelelően hajthatja végre a nemkívánatos tevékenységeit.
 
A OneNote sem úszta meg

Az augusztusi hibajavító kedden egy fontos besorolású frissítéssel gazdagodott a OneNote 2007. A fejlesztők egy olyan rendellenességet orvosoltak, melynek révén a támadók tetszőleges műveleteket hajthatnak végre. Ehhez csupán azt kell elérniük, hogy a felhasználó megnyisson egy kártékony, speciálisan összeállított állományt. Ilyen fájlokat weboldalakon vagy e-mailekben is terjeszthetnek. Ez esetben is elmondható, hogy minél több jogosultság birtokában van a felhasználó, a támadók számára annál több lehetőség kínálkozik a károkozásra.
 
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.