Megkezdte a nyári foltozgatást a Microsoft

A Microsoft kiadta az idei nyár első hibajavításait, amelyek segítségével a Windows, az Internet Explorer, az Office és az Exchange Server is biztonságosabbá tehető.
 

A Microsoft júniusi hibajavító keddje némileg visszafogottabbra sikerült, mint a májusi foltozgatás. Ennek ellenére azért nem fukarkodott a vállalat a frissítésekkel. Összesen nyolc közleményben számolt be a legutóbb felfedezett sebezhetőségekről. A tájékoztatók közül kettő került a kritikus veszélyességi kategóriába. Ezek a Windows és az Internet Explorer kapcsán ismertetnek olyan rendellenességeket, amik akár a számítógépek feletti teljes irányítás átvételéhez is hozzájárulhatnak. A többi közlemény fontos besorolást kapott, ezért az ezekhez tartozó frissítéseket sem célszerű félvállról venni.
 
Nyári böngésző frissítés

A júniusi hibajavító kedden is az egyik főszereplő az Internet Explorer volt, amely nem kevesebb mint 24 sérülékenységtől vált meg. Ezek többsége memóriakezelési rendellenességekre vezethető vissza, és speciálisan szerkesztett weboldalak letöltésekor, megjelenítésekor okozhatnak problémákat. A támadóknak mindössze azt kell elérniük, hogy a felhasználó felkeressen egy kártékony weboldalt, és rögtön kihasználhatják a hibákat. Ekkor a felhasználó jogosultsági szintjének függvényében tetszőleges műveleteket hajthatnak végre. Mindezek mellett a fejlesztők olyan hibákat is orvosoltak, amelyek adatszivárogtatásra adhatnak módot. Az elérhetővé tett hibajavítások miatt az Internet Explorer összes jelenleg támogatással rendelkező verzióját foltozni kell.
 
Windows javítások

A Microsoft a legtöbb biztonsági közleményt ezúttal is a Windows kapcsán adta ki. A legsúlyosabb sebezhetőség a Windows Media Playerben merült fel, és speciálisan összeállított multimédiás tartalmak feldolgozásakor jogosulatlan távoli kódfuttatásra és műveletvégrehajtásra adhat lehetőséget. Ebben az esetben is elmondható, hogy minél több jogosultággal rendelkezik a felhasználó, annál több mindent tehetnek meg a támadók az érintett rendszeren. Ez a kritikus veszélyességű sérülékenység a Windows Vista, a Windows 7, valamint a Windows Server 2003/2008/2008 R2 operációs rendszerekben van jelen.
 
A többi Windows hiba fontos veszélyességi kategóriába került, és a következő összetevőket, funkciókat érintik:
- Microsoft Common Controls
- Kernel
- Kernel módú driverek kezelése (Win32k.sys)
- Active Directory Federation Services (AD FS)
 
A fenti komponenseket sújtó sebezhetőségek kapcsán fontos megemlíteni, hogy azok összességében az összes támogatást élvező Windows kiadást veszélyeztetik, beleértve a legújabb Windows 8.1 és Windows Server 2012 R2 operációs rendszereket is.
 
Az Office sem úszta meg

Az Office szoftvercsomaghoz tartozó alkalmazások, összetevők is fontos frissítéssel gyarapodtak. Ezek telepítésével elsősorban memóriakezelési rendellenességeket lehet megszüntetni, amelyek bizonyos esetekben akár jogosulatlan távoli kódfuttatást is lehetővé tehetnek a támadók számára. Összesen három biztonsági rés befoltozására került sor, amik kártékony Office fájlok megnyitásakor jelenthetnek kockázatot. A sérülékenységek miatt az Office 2007, az Office 2010 és az Office 2013 is kiszolgáltatottá válhat.
 
Végül egy szerveres frissítés

A Microsoft az Exchange Server üzemeltetőinek is adott munkát. A júniusi frissítésével ugyanis két olyan sérülékenység javítására kerített sort, amelyek révén a CSRF (Cross-site Request Forgery) vagy a HTML-injection módszereket is kihasználó támadások kockázatát lehet csökkenteni. A biztonsági rések tetszőleges HTML-kódokkal való visszaélésekre adhatnak módot, illetve jogosultsági szint emelést segíthetnek elő. Ugyanakkor fontos megjegyezni, hogy a sérülékenységek kizárólag akkor válhatnak kihasználhatóvá, ha a célkeresztbe állított felhasználó korábban már bejelentkezett az érintett szerverre. Ha ez a feltétel adott, akkor a támadónak már csak annyi dolga van, hogy rávegye a felhasználót egy speciálisan összeállított hivatkozásra való kattintásra. Frissítésre kizárólag az Exchange Server 2013-as kiadásának esetében van szükség.
 
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.