Kritikus hibajavításokkal várta a nyarat a Microsoft
A Microsoft tizenhat biztonsági közleménnyel vágott neki az idei nyárnak. Elsősorban a Windows frissítésére kell odafigyelni, de van itt más is.A Microsoft júniusi hibajavító keddje igencsak izzasztóra sikerült, nem beszélve a következő napokról, amikor a frissítéseket telepíteni kell. Vállalati környezetekben is akad majd bőven munka, hiszen a Windows tucatnyi frissítése mellett egyebek mellett az Exchange Server is patch-elésre szorul. Mindezeken túl ebben a hónapban sem maradt ki a szórásból az Internet Explorer, az Edge és az Office sem. A közzétett tizenhat biztonsági közlemény közül öt kapott kritikus veszélyességi besorolást, míg a többi fontos kategóriába került.
Gyerünk Windows-t frissíteni
A Windows-hoz elérhetővé vált tájékoztatók közül kettő mellett áll kritikus megjelölés. Ezek közül az egyik egy olyan sebezhetőségről számol be, amely a JScript, valamint a VBScript kezelést érinti, és speciálisan szerkesztett weboldalakkal válhat kihasználhatóvá. Ez sikeres támadás esetén jogosulatlan távoli kódfuttatásra ad lehetőséget. A másik kritikus hiba pedig a DNS Servert sújtja a Windows Server 2012 és a 2012 R2 operációs rendszerek esetében. Ez a sérülékenység is jogosulatlan kódfuttatásra ad módot.
A Windows fontos besorolású sebezhetőségei pedig az alábbi összetevőket, funkciókat érintik:
- Group Policy
- kernel módú driverek (Win32k.sys)
- Windows Graphics (GDI32.dll)
- Adobe Type Manager Font Driver (ATMFD.dll)
- Windows Search
- Active Directory
- PDF-kezelés
- Windows Diagnostic Hub
- WPAD (Web Proxy Auto Discovery)
- Netlogon
- Windows SMB Server
A fenti sebezhetőségekről elmondható, hogy azok jogosulatlan kódfuttatás, jogosultsági szint emelés, jogosulatlan rendszerhozzáférés és szolgáltatásmegtagadás kockázatát is felvetik. A biztonsági rések miatt összességében az összes jelenleg támogatással rendelkező Windows kiadást frissíteni kell.
Frissült a két böngésző
A Microsoft az Internet Explorer és az Edge böngészőit újabb biztonsági frissítéssel látta el. Ezek kritikus veszélyességű sérülékenységeket orvosolnak, tehát nem célszerű várni a telepítésükkel. Az Internet Explorer tíz, míg az Edge nyolc biztonsági hibától vált meg. Mindkét esetben olyan sebezhetőségekre derült fény, amelyek jogosulatlan távoli kódfuttatatást, XSS-alapú támadásokat, illetve jogosultsági szint emelést tehetnek lehetővé. A hibák legtöbbje memóriakezelési rendellenességekre vezethető vissza, de több olyan sérülékenység is szerepel a listán, amik PDF-dokumentumok esetenkénti nem megfelelő kezelésével hozhatók összefüggésbe. Frissítésre az Internet Explorer 9-es vagy újabb verzióinak esetében van szükség.
Foltok az Office-ra
A júniusi hibajavító kedden az Office kapcsán is kritikus veszélyességű sebezhetőségekről hullt le a lepel. Ezek a sérülékenységek jogosulatlan távoli kódfuttatásban, adatszivárogtatásban, valamint ártalmas DLL-állományokkal való visszaélésekben segíthetik a támadókat. A hibák többségét memóriakezelési rendellenességek okozzák, és speciálisan összeállított Office dokumentumok, állományok megnyitásakor járulhatnak hozzá károkozásokhoz.
Frissítések az Office 2007 és az annál újabb verzióihoz érkeztek, beleértve az Office Web Apps-ot, illetve a Mac kompatibilis Office szoftvercsomagokat is. Ezek mellett egyes sebezhetőségek a SharePoint Server 2010/2013 esetében is kockázatot jelentenek.
Biztonságosabb lett az Exchange Server
A Microsoft Exchange Server négy biztonsági rés miatt szorul frissítésre. Ezek közül az egyik adatszivárgás kockázatát hordozza, míg a másik az Oracle Outside In Libraries kapcsán okozhat fejtörést: jogosultsági szint emelésben segítheti a támadókat. A sérülékenységek elsősorban az OWA-n (Outlook Web Access) keresztül válhatnak kihasználhatóvá, speciálisan összeállított üzenetek révén. A biztonsági hibák miatt az Exchange Server 2007-es, 2010-es, 2013-as és 2016-os verziót is patch-elni kell.
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.