Kritikus frissítések tarkították az őszi hibajavító keddet

A Microsoft nagyon fontos hibajavításokat adott ki az Internet Explorerhez és a Windows-hoz, ezért a biztonsági frissítésekre minél hamarabb célszerű sort keríteni.
 

A Microsoft az októberi hibajavító kedden összesen nyolc biztonsági közleményt tett elérhetővé, amelyek közül négy kritikus, míg a másik négy fontos veszélyességi besorolást kapott. A legtöbb kockázatot rejtő sebezhetőségek kihasználásával a támadók akár teljes mértékben átvehetik az érintett rendszerek feletti irányítást, és azokon ártalmas kódokat futtathatnak, vagy tetszőleges műveleteket hajthatnak végre.

Az e havi frissítések közül a legfontosabbak egyértelműen az Internet Explorerhez érkeztek. A Microsoft többek között azt a sérülékenységet is megszüntette, amelyet a kiberbűnözők egy ideje már felhasználtak a saját céljaik érdekében. E biztonsági rés kockázatainak csökkentéséhez eddig egy Fix it eszköz, valamint az EMET (Enhanced Mitigation Experience Toolkit) volt elérhető, de mostantól teljes mértékben orvosolható a rendellenesség.

Az Internet Explorer hibáján kívül még számos veszélyes sebezhetőségnek lehet búcsút inteni. A Microsoft fejlesztői ugyanis a Windows, az Office, a .Net keretrendszer, a Silverlight, valamint a SharePoint kapcsán is foltoztak be biztonsági réseket.

Tíz hiba az Internet Explorerben

A Microsoft összesen tíz biztonsági rést foltozott be a böngészőjén. Ezek között megtalálható az a sebezhetőség is, amely még szeptemberben került nyilvánosságra. Mindegyik sérülékenység memóriakezelési hibákra vezethető vissza, és speciálisan szerkesztett weboldalak megnyitásakor okozhatnak problémákat. A támadóknak annál több lehetőségük nyílhat az érintett rendszereken való károkozásra, minél több jogosultság birtokában futtatja a felhasználó a böngészőt. Frissítésre az Internet Explorer összes jelenleg támogatott kiadásának esetében szükség van, kezdve a 6-os verziótól a legújabb, 11-es változatig bezárólag.

Rések a Windows-on

Az októberi hibajavító kedd a Windows számára is tartogatott frissítéseket. A Microsoft két közlemény keretében számolt be az operációs rendszerének nyolc sérülékenységéről. Ezek mindegyike kritikus veszélyességi besorolást kapott. A cég felhívta a figyelmet arra, hogy a biztonsági rések lehetőséget adhatnak a támadók számára jogosulatlan távoli kódfuttatásra, műveletvégrehajtásra és a rendszerek feletti irányítás átvételére. A sebezhetőségek kernelmódú drivereket, az USB-kezelést, az OpenType és TrueType betűtípusok feldolgozását, valamint a DirectX egyik grafikus alrendszerét is érintik. Mindezek mellett egy olyan hiba javítására is sor került, amely a Comctl32.dll állományban található, és ASP.NET alkalmazásokon keresztül válhat kihasználhatóvá. A Microsoft tájékoztatóinak tanúsága szerint a Windows XP-től kezdve az összes Windows verzió kapott kisebb nagyobb javítást.

Terítéken a Word és az Excel

Az Office szoftvercsomaghoz két biztonsági közlemény jelent meg. Ezek közül az egyik az Excel legutóbb feltárt sérülékenységeivel foglalkozik, míg a másik a Word sebezhetőségeit taglalja. Mindkét alkalmazás esetében két-két darab, fontos besorolású (memóriakezelési) hibáról van szó, amelyek speciálisan szerkesztett dokumentumok révén válhatnak kihasználhatóvá. Ez esetben is elmondható, hogy minél kevesebb jogosultsággal rendelkezik a felhasználó, annál kisebb valószínűséggel tudnak komolyabb károkat okozni a támadók. Amennyiben a két közlemény által érintett szoftverek listáját szemügyre vesszük, akkor az állapítható meg, hogy az összes jelenleg támogatott Office verzió frissítésére sort kell keríteni.

Újabb SharePoint foltok

A vállalati és intézményi IT-rendszerek üzemeltetőinek különös figyelmet kell fordítaniuk a Microsoft azon közleményére, amely a SharePoint Server kapcsán jelent meg. A tájékoztató szerint két sérülékenység okozhat problémákat, amelyek közül az egyik egy Excel sebezhetőségre vezethető vissza, míg a másik egy paraméterellenőrzési hiányosságra. Ez utóbbi XSS (cross-site scripting) alapú támadások végrehajtására adhat lehetőséget. Hibajavítások telepítésére a SharePoint Server 2007-es, 2010-es és 2013-as verzióinak esetében is szükség van. Ezek mellett érintett a Microsoft Office Web Apps 2010 is.

Sebezhetőségek a keretrendszerben

A .Net keretrendszer három hibajavítást kapott. Ezek közül a legveszélyesebb speciális OpenType betűtípusok és XBAP alkalmazások révén válhat kihasználhatóvá. Emellett azonban van másik két rendellenesség is, amelyek szolgáltatásmegtagadási támadásokat segíthetnek elő, például egy JSON-feldolgozásért felelős összetevő hibás működése miatt. A Microsoft tájékoztatójában az érintett .Net Framework verziók között szerepel a 2.0, a 3.0, a 3.5, a 4.0 és a 4.5 is.

Adatszivárogtatás Silverlight-tal

A fejlesztők a Silverlight esetében egy fontos veszélyességi besorolással ellátott sebezhetőséget szüntettek meg. A Silverlight 5-ös verzióját érintő rendellenesség leginkább adatlopásra adhat lehetőséget a támadók számára. Ehhez azt kell elérniük, hogy a felhasználó megnyisson egy speciálisan összeállított Silverlight tartalommal felvértezett weboldalt.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.