Ismét foltozott a Microsoft
A Microsoft fejlesztői az elmúlt hónapban sem tétlenkedtek a biztonsági frissítések kapcsán, hiszen a februári hibajavító kedd is bővelkedett különféle foltokban.A februári hibajavító kedden összesen tizenhárom biztonsági közleményt jelent meg. Ezek közül hat kapott kritikus veszélyességi besorolást, ami azt jelenti, hogy az ezekben ismertetett sérülékenységek teljes mértékben kiszolgáltatottá tehetik a rendszereket a külső támadásokkal szemben. A legtöbb javítást a Windows kapta, de ezúttal sem maradt le az érintett szoftverek listájáról az Internet Explorer, az Edge, az Office és a .Net keretrendszer sem. Sőt ebben a hónapban a Microsoft egy külön közleményt szánt az Adobe Flash Player kritikus veszélyességű hibáinak.
Foltozott böngészők
Az Internet Explorer tizenhárom, míg az Edge böngésző hat sérülékenységtől vált meg. A két böngészőhöz kiadott tájékoztatók mellett kritikus minősítés szerepel, vagyis mihamarabb célszerű telepíteni a frissítéseket. Elsősorban memóriakezelési rendellenességek orvoslására van szükség, amik jogosulatlan távoli kódfuttatást is lehetővé tehetnek. Ezek mellett akadnak olyan sebezhetőségek is, melyek adathamisítást vagy biztonsági megkötések (például az ASLR-védelem) megkerülését segíthetik elő. A biztonsági rések elsősorban speciálisan összeállított weboldalakkal vagy webes tartalmakkal válhatnak kihasználhatóvá. Az Internet Explorer esetében a 9-es verziótól kezdve a 11-es kiadásig bezárólag szükség van a frissítésekre.
Windows-os rendellenességek
A Windows kritikus és fontos besorolású sérülékenységektől is megvált. A legtöbb kockázatot hordozó sérülékenységek a PDF és a Journal állományok kezelését, feldolgozását érintik. Az előbbi esetben a Windows PDF Library nem kezeli mindig megfelelően az API-hívásokat, ami tetszőleges kódok futtatásához vezethet. A második esetben pedig egy olyan sebezhetőségről van szó, ami speciálisan összeállított Journal fájlokkal válhat kihasználhatóvá. A kockázatok tekintetében sok múlik azon, hogy a felhasználó éppen milyen jogosultságok birtokában használja a számítógépét.
A Windows fontos veszélyességi kategóriába tartozó biztonsági rései a következő összetevők, funkciók kapcsán kerültek napvilágra:
NPS RADIUS Server
Active Directory Federation Services
Kernel módú driverek
Távoli asztali kapcsolatok (RDP)
WebDAV-támogatás
A biztonsági rések összességében jogosulatlan kódfuttatás, jogosulatlan műveletvégrehajtás, szolgáltatásmegtagadás és jogosultsági szint emelés kockázatát vetik fel. A frissítések a Windows összes jelenleg támogatással rendelkező kiadását érintik beleértve a Windows 10-et is.
Office hibajavítások
Az Office szoftvercsomag esetében hat sebezhetőségre derült fény. Ezek kritikus vagy fontos besorolást kaptak, és távoli kódfuttatást tehetnek lehetővé. A kódfuttatás a rendszerbe aktuálisan bejelentkezett felhasználó jogosultsági szintjén történhet meg. A Microsoft közleménye szerint a hibák többségét memória- és objektumkezelési problémák okozzák. A februári hibajavító kedden elérhetővé vált patch-ek miatt az Office 2007-es, 2010-es, 2013-as és 2016-os verzióit is frissíteni kell. Fontos megjegyezni, hogy a feltárt sérülékenységek egy része a SharePoint Server 2007-es, 2010-es és 2013-as verzióit is sújtják.
.Net hibajavítások
A Microsoft a februári hibajavító kedden két biztonsági rést foltozott be a .Net keretrendszeren. Az egyik hiba szolgáltatásmegtagadási támadások lebonyolítását segítheti elő, míg a másik adatszivárogtatásban juthat szerephez. A fontos besorolású hibák egyrészt az XSLT (Extensible Stylesheet Language Transformations) funkcionalitással, másrészt a WinForms ikonkezeléssel hozhatók összefüggésbe. Az érintett verziók között a 2.0-ás kiadástól kezdődően egészen a 4.6-ig bezárólag minden támogatott verzió megtalálható.
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.