Kritikus hibajavításokkal várta a nyarat a Microsoft

A Microsoft tizenhat biztonsági közleménnyel vágott neki az idei nyárnak. Elsősorban a Windows frissítésére kell odafigyelni, de van itt más is.
 

A Microsoft júniusi hibajavító keddje igencsak izzasztóra sikerült, nem beszélve a következő napokról, amikor a frissítéseket telepíteni kell. Vállalati környezetekben is akad majd bőven munka, hiszen a Windows tucatnyi frissítése mellett egyebek mellett az Exchange Server is patch-elésre szorul. Mindezeken túl ebben a hónapban sem maradt ki a szórásból az Internet Explorer, az Edge és az Office sem. A közzétett tizenhat biztonsági közlemény közül öt kapott kritikus veszélyességi besorolást, míg a többi fontos kategóriába került.
 
Gyerünk Windows-t frissíteni
 
A Windows-hoz elérhetővé vált tájékoztatók közül kettő mellett áll kritikus megjelölés. Ezek közül az egyik egy olyan sebezhetőségről számol be, amely a JScript, valamint a VBScript kezelést érinti, és speciálisan szerkesztett weboldalakkal válhat kihasználhatóvá. Ez sikeres támadás esetén jogosulatlan távoli kódfuttatásra ad lehetőséget. A másik kritikus hiba pedig a DNS Servert sújtja a Windows Server 2012 és a 2012 R2 operációs rendszerek esetében. Ez a sérülékenység is jogosulatlan kódfuttatásra ad módot.
 
A Windows fontos besorolású sebezhetőségei pedig az alábbi összetevőket, funkciókat érintik:
- Group Policy
- kernel módú driverek (Win32k.sys)
- Windows Graphics (GDI32.dll)
- Adobe Type Manager Font Driver (ATMFD.dll)
- Windows Search
- Active Directory
- PDF-kezelés
- Windows Diagnostic Hub
- WPAD (Web Proxy Auto Discovery)
- Netlogon
- Windows SMB Server
 
A fenti sebezhetőségekről elmondható, hogy azok jogosulatlan kódfuttatás, jogosultsági szint emelés, jogosulatlan rendszerhozzáférés és szolgáltatásmegtagadás kockázatát is felvetik. A biztonsági rések miatt összességében az összes jelenleg támogatással rendelkező Windows kiadást frissíteni kell.
 
Frissült a két böngésző
 
A Microsoft az Internet Explorer és az Edge böngészőit újabb biztonsági frissítéssel látta el. Ezek kritikus veszélyességű sérülékenységeket orvosolnak, tehát nem célszerű várni a telepítésükkel. Az Internet Explorer tíz, míg az Edge nyolc biztonsági hibától vált meg. Mindkét esetben olyan sebezhetőségekre derült fény, amelyek jogosulatlan távoli kódfuttatatást, XSS-alapú támadásokat, illetve jogosultsági szint emelést tehetnek lehetővé. A hibák legtöbbje memóriakezelési rendellenességekre vezethető vissza, de több olyan sérülékenység is szerepel a listán, amik PDF-dokumentumok esetenkénti nem megfelelő kezelésével hozhatók összefüggésbe. Frissítésre az Internet Explorer 9-es vagy újabb verzióinak esetében van szükség.
 
Foltok az Office-ra
 
A júniusi hibajavító kedden az Office kapcsán is kritikus veszélyességű sebezhetőségekről hullt le a lepel. Ezek a sérülékenységek jogosulatlan távoli kódfuttatásban, adatszivárogtatásban, valamint ártalmas DLL-állományokkal való visszaélésekben segíthetik a támadókat. A hibák többségét memóriakezelési rendellenességek okozzák, és speciálisan összeállított Office dokumentumok, állományok megnyitásakor járulhatnak hozzá károkozásokhoz.
 
Frissítések az Office 2007 és az annál újabb verzióihoz érkeztek, beleértve az Office Web Apps-ot, illetve a Mac kompatibilis Office szoftvercsomagokat is. Ezek mellett egyes sebezhetőségek a SharePoint Server 2010/2013 esetében is kockázatot jelentenek.
 
Biztonságosabb lett az Exchange Server
 
A Microsoft Exchange Server négy biztonsági rés miatt szorul frissítésre. Ezek közül az egyik adatszivárgás kockázatát hordozza, míg a másik az Oracle Outside In Libraries kapcsán okozhat fejtörést: jogosultsági szint emelésben segítheti a támadókat. A sérülékenységek elsősorban az OWA-n (Outlook Web Access) keresztül válhatnak kihasználhatóvá, speciálisan összeállított üzenetek révén. A biztonsági hibák miatt az Exchange Server 2007-es, 2010-es, 2013-as és 2016-os verziót is patch-elni kell.
 
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.