Internet Explorer: folt hátán folt

A Microsoft egy lazább hibajavító keddel indította a nyarat. A legtöbb frissítést az Internet Explorer kapta, de azért a Windows-nak és az Office-nak is kijutott a hibajavításokból.
 

A Microsoft az elmúlt egy év hibajavító keddjein meglehetősen tetemes mennyiségű biztonsági közleménnyel és frissítéssel szolgált. Az e havi hibajavítások tekintetében azonban visszafogottabb volt. Öt közleményt tett elérhetővé, amelyekkel összesen 23 sérülékenységről rántotta le a leplet. A legtöbb foltot az Internet Explorer kapta, hiszen a 23 orvosolt hibából 19 a webböngészőt érinti. Fontos megjegyezni, hogy az öt közleményből egy kapott kritikus veszélyességi besorolást, a többi fontos minősítéssel jelent meg. A legveszélyesebb sebezhetőségek az Internet Explorerben találhatóak.

Böngészőfrissítés

A júniusi hibajavító kedd középpontjában egyértelműen az Internet Explorer állt. A böngészőhöz kiadott, MS13-047-es közlemény rengeteg biztonsági hibáról számol be. Ezek közül az egyik scriptek (debugolás közbeni) feldolgozásakor okozhat problémákat, míg a többi kivétel nélkül memóriakezelési rendellenességekre vezethető vissza. A Microsoft szerint a kritikus veszélyességű sérülékenységek speciálisan szerkesztett weboldalak megtekintésekor járulhatnak hozzá károkozásokhoz. Amennyiben a felhasználó meglátogat egy ilyen ártalmas weblapot, akkor a támadó a felhasználó jogosultságainak függvényében különféle műveleteket hajthat végre, és akár teljes mértékben átveheti az érintett rendszerek feletti irányítást. A biztonsági rések kockázata annál kisebb, minél kevesebb jogosultság birtokában futtatja a felhasználó a webböngészőt. A júniusi hibajavítások az Internet Explorer jelenleg támogatott összes kiadását érintik, így frissítésre a szoftver 6-os, 7-es, 8-as, 9-es és a legújabb 10-es kiadásának esetében is szükség van. A Microsoft jelezte, hogy a befoltozott biztonsági rések többségére a HP Zero Day Initiative valamint a Google biztonsági csapata hívta fel a figyelmét.

Rések az operációs rendszeren

A Windows ezúttal három sérülékenységtől szabadult meg. Az egyik hiba az operációs rendszer kernelje kapcsán merült fel, és információszivárgásra adhat lehetőséget. A második sebezhetőség a TCP/IP támogatást biztosító egyik kernelmódú driverben található, melynek működése speciálisan összeállított hálózati csomagok révén megbéníthatóvá válhat. Vagyis a hiba szolgáltatásmegtagadási támadások táptalajául szolgálhat. A harmadik biztonsági rés pedig a Windows nyomtatási várólistáját kezelő szolgáltatás egyik komponensét érinti, és jogosulatlan műveletek végrehajtását segítheti elő. A Microsoft jelezte, hogy az első és a harmadik sérülékenység kizárólag akkor használható ki, ha a támadó helyileg be tud jelentkezni az adott rendszerre. A mostani frissítések a Windows jelenleg támogatott összes verzióját érintik, beleértve a Windows 8-at is. Emellett a szerverekhez készült kiadások is sebezhetők. Érdekes azonban, hogy a Windows XP-t "csak" a kernelhiba sújtja, vagyis most az újabb Windows változatok kaptak több foltot.

Office sebezhetőség

A júniusi hibajavító kedden a Microsoft az Office 2003 és az Office for Mac 2011 felhasználói számára külön is adott frissíteni valót. Az Office szoftvercsomag két említett kiadása ugyanis egy fontos veszélyességi besorolással ellátott hibát rejt. A sebezhetőség speciálisan összeállított - beágyazott, PNG-formátumú képeket is tartalmazó - dokumentumok megnyitásakor jelenthet veszélyt. Ilyen kártékony fájlokat a támadó többek között weboldalakon keresztül vagy e-mailben is eljuttathat a kiszemelt felhasználókhoz, akik ha azokat megtekintik, akkor teljesen kiszolgáltatottá válhat a számítógépük. E biztonsági hibára is igaz, hogy annál több veszélyt hordoz, minél több jogosultsággal rendelkezik a káros dokumentumot megnyitó felhasználó.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.