Nyárbúcsúztató hibajavítások a Microsofttól
A Microsoft kiadta az idei nyár utolsó hibajavításait, amelyek telepítésével kritikus veszélyességű sebezhetőségeket lehet orvosolni. Az Internet Explorer és a Windows is fontos frissítésekkel gyarapodott.A Microsoft a múlt héten jelezte, hogy az augusztusi hibajavító kedden nyolc biztonsági közleményt ad ki, és számos sérülékenységről számol be. Ez így is történt, hiszen elérhetővé váltak a tájékoztatók, és a hozzájuk tartozó hibajavítások.
A közlemények közül három kapott kritikus veszélyességi besorolást, míg a többi fontos minősítéssel rendelkezik. Az előbbi kategóriába tartozó sebezhetőségek a rendszerek feletti irányítás átvételét segíthetik elő a támadók számára, míg az utóbbiak szolgáltatásmegtagadási támadásokhoz, jogosultságszerzéshez és adatlopáshoz járulhatnak hozzá. A legveszélyesebb sérülékenységek orvoslására az Internet Explorer, az Exchange Server, valamint a Windows (XP és Server 2003) esetében került sor.
Internet Explorer frissítés
Az augusztusi hibajavító kedd legfontosabb frissítései az Internet Explorerhez jelentek meg. A fejlesztők a webböngészőben összesen három, kritikus veszélyességű sérülékenységet orvosoltak. A sebezhetőségek a folyamatok integritási szintjének hibás hozzárendelésére, karakterkódolási problémákra valamint memóriakezelési rendellenességekre vezethetők vissza. A biztonsági réseket a támadók speciálisan szerkesztett weboldalak révén használhatják ki, és akár teljes mértékben átvehetik az érintett rendszerek feletti irányítást. A Microsoft által kiadott hibajavításokat az Internet Explorer 6-os, 7-es, 8-as, 9-es és 10-es kiadásainak esetében is mihamarabb célszerű feltelepíteni.
Hibák az Exchange Serverben
A Microsoft az Exchange Server kapcsán is kritikus veszélyességű sebezhetőségekről számolt be. Ezek az Oracle Outside In összetevő miatt merültek fel. Összesen három biztonsági résről van szó, amelyek közül kettő a WebReady Document Viewing funkciót érinti, és az Outlook Web Access (OWA) segítségével megjelenített, kártékony e-mailek feldolgozásakor okozhatnak problémákat, illetve LocalService fiók alatt tehetnek lehetővé jogosulatlan kódfuttatást. E két sérülékenység az Exchange Server 2007-es, 2010-es és 2013-as kiadásainak esetében is megtalálható. A harmadik hiba kizárólag a legújabb, 2013-as verziót sújtja, és a DLP (Data Loss Protection) feladatokat ellátó komponens tartalmazza. Gond akkor adódhat, amikor a felhasználó az OWA-n keresztül próbál ártalmas fájlokat megnyitni, aminek hatására a szerver válaszképtelenné válik.
Sebezhetőségektől szabadult meg a Windows
A hibajavításokból ezúttal sem maradt ki a Windows. Oly annyira nem, hogy összesen hat biztonsági közlemény vált elérhetővé hozzá. Ezek közül egy kritikus veszélyességi besorolást kapott. A legtöbb kockázatot rejtő biztonsági rést az Unicode Scripts Processor tartalmazza, amelynek következtében jogosulatlan távoli kódfuttatásra nyílhat lehetőségük a támadóknak. Ehhez mindössze annyit kell elérniük, hogy a speciálisan szerkesztett dokumentumaikat vagy weboldalaikat a felhasználó egy olyan alkalmazás segítségével nyissa meg, amely OpenType támogatással is rendelkezik. A sérülékenység kizárólag a Windows XP valamint a Windows Server 2003 operációs rendszerek esetében van jelen.
A Windows kapcsán napvilágra került többi sérülékenység fontos veszélyességi kategóriába tartozik. Ezek az RPC (Remote Procedure Call) hívások esetenkénti nem megfelelő kezelésére, a Windows kernel két biztonsági résére, a Windows NAT driver hibájára, az ICMPv6 nem megfelelő támogatására és az Active Directory Federation Services (AD FS) egy újonnan feltárt sérülékenységére vezethetők vissza. A sebezhetőségek jogosultsági szint emelésre, szolgáltatásmegtagadási támadásokra és adatszivárogtatásra adhatnak lehetőséget. A hibák az összes jelenleg támogatott Windows kiadásban fellelhetők, és ilyen módon a Windows 8 valamint a Windows Server 2012 esetében is javításra szorulnak.
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.
Frissítés: a Microsoft visszavonta az Exchange Server hibajavítását.
-
A Cico az IP telefonjaihoz három hibát javító frissítést tett közzé.
-
Az ArobaOS-hez fontos biztonsgi frissítés érkezett.
-
A Google egy veszélyes biztonsági rést foltozott be a ChromeOS-en.
-
A Google két veszélyes hibát orvosolt Chrome böngészőben.
-
A SonicWall két sebezhetőséget javított a GMS kapcsán.
-
A Citrix a virtualizációs megoldásaihoz fontos frissítéseket tett közzé.
-
A QNAP számos sebezhetőséget szüntetett meg a NAS adattárolói kapcsán.
-
A Microsoft fejlesztői három biztonsági résről számoltak be az Edge kapcsán.
-
A TinyMCE kapcsán XSS-hibákra derült fény.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.