Nyárbúcsúztató hibajavítások a Microsofttól

A Microsoft kiadta az idei nyár utolsó hibajavításait, amelyek telepítésével kritikus veszélyességű sebezhetőségeket lehet orvosolni. Az Internet Explorer és a Windows is fontos frissítésekkel gyarapodott.
 

A Microsoft a múlt héten jelezte, hogy az augusztusi hibajavító kedden nyolc biztonsági közleményt ad ki, és számos sérülékenységről számol be. Ez így is történt, hiszen elérhetővé váltak a tájékoztatók, és a hozzájuk tartozó hibajavítások.

A közlemények közül három kapott kritikus veszélyességi besorolást, míg a többi fontos minősítéssel rendelkezik. Az előbbi kategóriába tartozó sebezhetőségek a rendszerek feletti irányítás átvételét segíthetik elő a támadók számára, míg az utóbbiak szolgáltatásmegtagadási támadásokhoz, jogosultságszerzéshez és adatlopáshoz járulhatnak hozzá. A legveszélyesebb sérülékenységek orvoslására az Internet Explorer, az Exchange Server, valamint a Windows (XP és Server 2003) esetében került sor.

Internet Explorer frissítés

Az augusztusi hibajavító kedd legfontosabb frissítései az Internet Explorerhez jelentek meg. A fejlesztők a webböngészőben összesen három, kritikus veszélyességű sérülékenységet orvosoltak. A sebezhetőségek a folyamatok integritási szintjének hibás hozzárendelésére, karakterkódolási problémákra valamint memóriakezelési rendellenességekre vezethetők vissza. A biztonsági réseket a támadók speciálisan szerkesztett weboldalak révén használhatják ki, és akár teljes mértékben átvehetik az érintett rendszerek feletti irányítást. A Microsoft által kiadott hibajavításokat az Internet Explorer 6-os, 7-es, 8-as, 9-es és 10-es kiadásainak esetében is mihamarabb célszerű feltelepíteni.

Hibák az Exchange Serverben

A Microsoft az Exchange Server kapcsán is kritikus veszélyességű sebezhetőségekről számolt be. Ezek az Oracle Outside In összetevő miatt merültek fel. Összesen három biztonsági résről van szó, amelyek közül kettő a WebReady Document Viewing funkciót érinti, és az Outlook Web Access (OWA) segítségével megjelenített, kártékony e-mailek feldolgozásakor okozhatnak problémákat, illetve LocalService fiók alatt tehetnek lehetővé jogosulatlan kódfuttatást. E két sérülékenység az Exchange Server 2007-es, 2010-es és 2013-as kiadásainak esetében is megtalálható. A harmadik hiba kizárólag a legújabb, 2013-as verziót sújtja, és a DLP (Data Loss Protection) feladatokat ellátó komponens tartalmazza. Gond akkor adódhat, amikor a felhasználó az OWA-n keresztül próbál ártalmas fájlokat megnyitni, aminek hatására a szerver válaszképtelenné válik.

Sebezhetőségektől szabadult meg a Windows

A hibajavításokból ezúttal sem maradt ki a Windows. Oly annyira nem, hogy összesen hat biztonsági közlemény vált elérhetővé hozzá. Ezek közül egy kritikus veszélyességi besorolást kapott. A legtöbb kockázatot rejtő biztonsági rést az Unicode Scripts Processor tartalmazza, amelynek következtében jogosulatlan távoli kódfuttatásra nyílhat lehetőségük a támadóknak. Ehhez mindössze annyit kell elérniük, hogy a speciálisan szerkesztett dokumentumaikat vagy weboldalaikat a felhasználó egy olyan alkalmazás segítségével nyissa meg, amely OpenType támogatással is rendelkezik. A sérülékenység kizárólag a Windows XP valamint a Windows Server 2003 operációs rendszerek esetében van jelen.

A Windows kapcsán napvilágra került többi sérülékenység fontos veszélyességi kategóriába tartozik. Ezek az RPC (Remote Procedure Call) hívások esetenkénti nem megfelelő kezelésére, a Windows kernel két biztonsági résére, a Windows NAT driver hibájára, az ICMPv6 nem megfelelő támogatására és az Active Directory Federation Services (AD FS) egy újonnan feltárt sérülékenységére vezethetők vissza. A sebezhetőségek jogosultsági szint emelésre, szolgáltatásmegtagadási támadásokra és adatszivárogtatásra adhatnak lehetőséget. A hibák az összes jelenleg támogatott Windows kiadásban fellelhetők, és ilyen módon a Windows 8 valamint a Windows Server 2012 esetében is javításra szorulnak. 

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.

Frissítés: a Microsoft visszavonta az Exchange Server hibajavítását.