Kritikus frissítések érkeztek a Microsofttól

A Microsoft letölthetővé tette az első, őszi frissítéseit. A hibajavításokból ezúttal sem maradt ki a Windows, az Internet Explorer és az Office sem, de a szerverkörnyezeteknek is kijutott a jóból.
 

A Microsoft rengeteg frissítést adott ki a szeptemberi hibajavító kedden. A megszüntetett sérülékenységekről összesen 12 közlemény keretében számolt be. Ezek közül öt kapott kritikus veszélyességi besorolást, mivel olyan biztonsági résekről szólnak, amelyek teljes mértékben kiszolgáltatottá tehetik az érintett rendszereket a külső támadásokkal szemben. A maradék hét közlemény pedig fontos veszélyességi kategóriába került, így ezeket sem célszerű félvállról venni. 

A mostani hibajavítások egyebek mellett érintik a Windows operációs rendszereket, az Internet Explorer és az Edge böngészőket, valamint az Office szoftvercsomaghoz tartozó alkalmazásokat. Mindezek mellett a szerverkörnyezetek foltozására is szükség van, hiszen kritikus, illetve fontos javításokat kapott a Lync, a SharePoint, valamint az Exchange Server is. 

Kezdjük az operációs rendszerrel!

A Microsoft szeptemberi hibajavításai közül számos érinti a Windows operációs rendszer jelenleg támogatott kiadásait, beleértve a legújabb, Windows 10-et is. Az operációs rendszerhez megjelent közlemények közül kettő került a kritikus veszélyességi kategóriába, mivel ezek adott esetben a számítógépek feletti teljes irányítás átvételéhez is vezethetnek. A legsúlyosabb sebezhetőségeket a Windows Journal tartalmazza. E hibák speciálisan összeállított Journal fájlokkal válhatnak kihasználhatóvá. A támadók jogosulatlan távoli kódfuttatást kezdeményezhetnek, vagy szolgáltatásmegtagadási támadásokat indíthatnak. Eközben nem kizárólag a rendszerek megbénulását érhetik el, hanem akár adatvesztést is okozhatnak. A Windows-hoz kiadott másik, kritikus besorolású tájékoztató pedig az operációs rendszer egyes grafikus összetevőit érintő biztonsági résekről nyújt információkat. Ezek többnyire speciálisan szerkesztett OpenType betűkészletek feldolgozásakor vezethetnek károkozásokhoz, és kernel szintű problémákat is előidézhetnek.

A Windows esetében feltárt és javított, némileg kevesebb kockázatot hordozó sérülékenységek az alábbi összetevőket, funkciókat érintik:
- Active Directory (DoS sebezhetőség)
- Windows Media Center (jogosulatlan távoli kódfuttatást lehetővé tevő hiba)
- Windows Task Management (jogosultsági szint emelés)
- Hyper-V (biztonsági megkötések megkerülése).

Jöhetnek a webböngészők

A múlt hónaphoz hasonlóan ezúttal sem csak az Internet Explorerhez jelentek meg frissítések, hanem a legújabb, Edge webböngészőhöz is. Az Internet Explorer összesen tizenhét sebezhetőségtől vált meg, míg az Edge négytől. Az esetek túlnyomó többségében memóriakezelési hibákról van szó, amelyek speciálisan összeállított weboldalak vagy webes tartalmak megtekintésekor jelentenek kockázatot. Különösen akkor, ha a felhasználó rendszergazdai jogosultságok birtokában futtatja a böngészők valamelyikét. Meg kell jegyezni, hogy az Internet Explorert egy olyan sérülékenység is sújtja, amely nem jogosulatlan kódfuttatást tesz lehetővé, hanem adatlopáshoz, adatszivárogtatáshoz járulhat hozzá.

Office foltok

A Microsoft kritikus minősítéssel látta el azokat a sebezhetőségeket, amelyeket az Office szoftvercsomagja tartalmaz. A biztonsági rések jogosulatlan távoli kódfuttatásra, illetve műveletvégrehajtásra adhatnak módot. Ehhez a támadóknak mindössze azt kell elérniük, hogy a felhasználó megnyisson speciálisan szerkesztett, kártékony Office állományokat. A fejlesztők összesen három sebezhetőségről adtak hírt, de ezek miatt az összes jelenleg támogatással rendelkező Office verziót frissíteniük kellett, kezdve az Office 2007-től egészen az Office 2013-ig bezárólag. Emellett nem úszta meg a foltozást a SharePoint Server 2013 sem. 

Sebezhető levelezőkiszolgálók

Az Exchange Server összesen három hibajavítással bővült, amelyek mindegyike fontos veszélyességi besorolást kapott. A sérülékenységek elsősorban adatlopásra és adatmanipulációkra adhatnak lehetőséget, és ilyen módon elősegíthetik a megtévesztésre épülő (spoofing típusú) támadások végrehajtását.  A biztonsági rések az OWA-n (Outlook Web Access) tátongnak, mivel az egyes esetekben nem ellenőrzi megfelelően a bemeneti paramétereket, illetve a webes kéréseket. A sebezhetőségek az Exchange Server 2013-as verziójának esetében vannak jelen.

Hibák a kommunikációs alkalmazásokban

A hibajavító keddeken viszonylag ritka, hogy a Microsoft a kommunikációs alkalmazásaihoz frissítéseket ad ki. Most mégis ez történt, hiszen patch-ek váltak letölthetővé a Lync Server 2013 és a Skype for Business Server 2015 alkalmazásokhoz is. A vállalat közleménye szerint összesen három biztonsági résről van szó. Ezek mindegyike XSS-alapú támadásokhoz járulhat hozzá, és ilyen módon tetszőleges HTML, illetve script kódokkal történő visszaélésekre adhatnak lehetőséget. Mindez pedig végül adatszivárgáshoz vezethet. 

Végére maradt a .Net keretrendszer

A Microsoft a .Net keretrendszerével kapcsolatban két sebezhetőségről számolt be. Ezek mindegyike fontos besorolást kapott, és több módon is képesek veszélyeztetni a rendszereket. Az egyik hiba mind a Windows-os, mind a webes alkalmazások kapcsán kockázatot jelent, mivel jogosultsági szint emelést segíthet elő. A másik sérülékenységre pedig az ASP.NET, pontosabban az MVC esetében derült fény. Ez a rendellenesség szolgáltatásmegtagadási támadásokban juthat szerephez, és az érintett weboldalak, webhelyek megbénulását idézheti elő. A két biztonsági rés a .Net keretrendszer 2.0-ás verziójától kezdve a legújabb, 4.6-os kiadásig bezárólag kockázatot hordoz.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.