Kritikus javítást kapott az Internet Explorer

A Microsoft tíz közleményben számolt be a májusi biztonsági hibajavításairól. Az Internet Explorer frissítésére különösen érdemes odafigyelni.
 

A Microsoft a májusi hibajavító kedden tíz biztonsági tájékoztatót adott ki. Ezek közül kettő kapott kritikus veszélyességi besorolást, míg a többi a fontos kategóriába került. A hibajavítások révén egyebek mellett olyan sérülékenységeket lehet megszüntetni, amelyek lehetőséget adhatnak a támadók számára jogosulatlan távoli kódfuttatásra és műveletvégrehajtásra.

A hibajavító kedden letölthetővé vált frissítésekkel összesen 33 biztonsági hibának lehet búcsút inteni. A fejlesztők ezúttal elsősorban a Windows és az Internet Explorer egyes sebezhetőségeinek megszüntetésére koncentráltak, de azért egyéb szoftverek foltozgatására is jutott idejük. Ennek köszönhetően a Publisher, a Word és a Visio alkalmazások valamint a Communicator 2007 R2, a Lync 2010 és a Lync Server 2013 is biztonságosabbá tehető.

Kezdjük az Internet Explorerrel

A Microsoft az Internet Explorer hibáit két közleményben taglalja, amelyek mindegyike kritikus minősítéssel rendelkezik. Az első a böngésző összes jelenleg támogatott kiadását érinti az Internet Explorer 6-tól a 10-es verzióig bezárólag. E sérülékenységek közül az egyik egy memóriakezelési rendellenességet szüntet meg, míg a másik egy JSON-fájlok esetében felmerült sérülékenységet orvosol. A böngészőt érintő második közlemény pedig szintén egy memóriakezeléssel összefüggő biztonsági rést ismertet, amely kizárólag az alkalmazás 8-as és 9-es verzióiban található meg. A hibák leginkább speciálisan szerkesztett weboldalak letöltésekor okozhatnak problémát, hiszen ekkor a támadók számára tetszőleges kódok jogosulatlan futtatására is lehetőség nyílhat.

Felfrissült a Windows

A Windows a májusi hibajavító kedden számos fontos besorolású hibajavítással gazdagodott. Ezek közül az egyik érdekessége, hogy kizárólag a legújabb verziókat érinti, így a telepítésére a Windows 8 valamint a Windows Server 2012 esetében van szükség. A befoltozott biztonsági rés a HTTP-fejlécek esetenkénti nem megfelelő feldolgozására vezethető vissza, amit a támadók szolgáltatásmegtagadási támadásokra használhatnak fel. Emellett a Windows egyes kernelmódú driverek (Win32k.sys), illetve az egyik DirectX alrendszer kapcsán is biztonságosabbá vált. Ezek a hibák viszont már az összes jelenleg támogatással rendelkező kiadást érintik. A harmadik közlemény kizárólag a Windows Essentials 2011 és 2012 verziója kapcsán ismertet egy olyan sebezhetőséget, amely a Windows Writer használatakor okozhat kellemetlen meglepetések. A hiba többek között proxy beállítások manipulálására adhat lehetőséget.

Javított Office

Az Office szoftvercsomaghoz tartozó egyes szoftverek veszélyes sebezhetőségektől váltak meg. A legtöbb, egészen pontosan tizenegy hiba javítására a Publisher esetében került sor, amely főként memóriakezelési rendellenességektől, puffertúlcsordulási hibáktól szabadult meg. Ezek érintik az Office 2003-as, 2007-es és 2010-es verzióiban helyet kapó Publishert. Ugyancsak ezen Office kiadásokhoz egy olyan frissítés is letölthetővé vált, amely a Visio alkalmazáson foltoz be egy biztonsági rést, és speciálisan összeállított XML-fájlok révén használható ki. A Microsoft mindezt megspékelte meg egy olyan javítással, amelyet kizárólag a Word 2003 felhasználóinak kell telepíteniük annak érdekében, hogy egy jogosulatlan kódfuttatást lehetővé tevő, speciálisan szerkesztett Word dokumentumok révén kihasználható hibának mondhassanak búcsút.

.Net javítások

A .Net keretrendszer fejlesztői két sérülékenységről adtak hírt. Az egyik egy XML-kezelési rendellenesség, amely esetenként a digitális aláírások nem megfelelő ellenőrzésére vezethető vissza. Ennek következtében XML-állományok válhatnak manipulálhatóvá. A másik biztonsági hiba a WCF authentikáció használata során járulhat hozzá károkozásokhoz azáltal, hogy nem megfelelően összeállított policy-k miatt kliensoldali komponensekhez biztosíthat jogosulatlan hozzáférést. A hibajavításokat a legtöbb .Net Framework verzió esetében minél előbb célszerű feltelepíteni.

A Communicator és a Lync

A Microsoft egyes vállalati üzemeltetők számára még egy feladatot adott. Azoknak ugyanis, akik a Communicator 2007 R2, a Lync 2010 vagy a Lync Server 2013 alkalmazásokat is használják, még egy frissítéssel kell számolniuk. A fejlesztők egy olyan sérülékenységet szüntettek meg, amely jogosulatlan kódfuttatást és műveletvégrehajtást tehet lehetővé az áldozatul esett felhasználó jogosultsági szintjének megfelelően. A hibát a támadók speciálisan szerkesztett dokumentumokkal, programokkal vagy prezentációkkal használhatják ki. Mindössze arra van szükségük, hogy valamilyen úton-módon rávegyék a célkeresztbe állított felhasználót arra, hogy nyissa meg a megosztott fájlokat.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.