Tavaszi felfrissülés Microsoft módra

A Microsoft ismét egy mozgalmas hibajavító kedden van túl. Kezdődhet a Windows, az Internet Explorer, az Office és a SharePoint frissítése is.
 

A Microsoft az árpilisi hibajavító kedden összesen tizenegy biztonsági közleményt adott ki, amelyek közül négy kritikus, míg a többi fontos veszélyességi kategóriába került. Ebben a hónapban is a Windows operációs rendszer kapta a legtöbb hibajavítást, de azért az Internet Explorer is számos súlyos sérülékenységtől vált meg. Ezek mellett a fejlesztők az Office szoftvercsomaghoz tartozó alkalmazások, a SharePoint Server és a .Net keretrendszer kapcsán is foltoztak be biztonsági réseket. Mindez egyben azt jelenti, hogy mind az egyéni, mind a vállalati felhasználóknak érdemes mihamarabb frissíteniük a rendszereiket. Annál is inkább, mivel a legtöbb kockázatot hordozó sebezhetőségek teljesen kiszolgáltatottá tehetik az érintett számítógépeket a támadásokkal szemben. 

Internet Explorer hibajavítások

A Microsoft a böngészője kapcsán összesen tíz biztonsági hibát orvosolt. Ezek között kritikus veszélyességűek is találhatók szép számmal, ami azt jelenti, hogy a kihasználásukkal a támadók teljes mértékben átvehetik a rendszerek feletti irányítást. A sebezhetőségek közül kilenc memóriakezelési rendellenességekre vezethető vissza, és jogosulatlan kódfuttatást tehet lehetővé. A tizedik sérülékenység pedig az ASLR (Address Space Layout Randomization) védelem megkerülését segítheti elő. A feltárt hibák miatt az Internet Explorer összes jelenleg támogatással rendelkező kiadását frissíteni kell, beleértve a legújabb, 11-es verziót is.

Windows foltok 

A Windows-hoz két kritikus és öt fontos minősítésű közlemény jelent meg. Az egyik legveszélyesebb sebezhetőség a HTTP-kezelés kapcsán látott napvilágot. A támadók speciálisan összeállított HTTP-kérésekkel tetszőleges kódokat futtathatnak le a System fiók jogosultsági kontextusában. A hiba a HTTP.sys esetében merült fel. A másik kritikus sérülékenység az operációs rendszer egyik grafikus összetevőjét sújtja, és az EMF-formátumú képállományok feldolgozásakor jelentkezhet. A támadók dokumentumokon, weboldalakon vagy e-maileken keresztül olyan képek megnyitására vehetik rá a felhasználót, amelyek révén képessé válhatnak a biztonsági hiba kihasználására, és ennek következtében tetszőleges kódok futtatására. 

A fenti sérülékenységeken túl a Microsoft tovább hibákat is javított. Így például megszüntetett egy jogosultsági szint emelésre lehetőséget adó rendellenességet a Feladatütemezőben, eltávolított egy adatszivárgásokra módot adó hibát az Active Directory Federation Services szolgáltatásból, és az XML-feldolgozást is biztonságosabbá tette. A Hyper-V alapú virtualizáció is kapott egy frissítést, aminek köszönhetően a szolgáltatásmegtagadási támadások kockázata vált csökkenthetővé. Összességében elmondható, hogy a javítások minden jelenleg támogatással rendelkező - PC-kre, illetve szerverekre szánt - Windows verziót érintenek.

Office sebezhetőségek

A Microsoft többségében kritikus veszélyességűnek ítélte meg azokat a sebezhetőségeket, amelyeket az Office alkalmazások kapcsán szüntetett meg. A feltárt rendellenességek elsősorban memóriakezelési problémákra vezethetők vissza, és speciálisan szerkesztett dokumentumokkal, állományokkal válhatnak kihasználhatóvá. Amennyiben a felhasználó megnyit egy ilyen káros fájlt - akár e-mailek mellékletéből -, akkor a támadók tetszőleges kódokat juttathatnak be a memóriába, illetve a felhasználó jogosultsági szintjén különböző műveleteket hajthatnak végre. Vagyis minél több jogosultsággal rendelkezik a felhasználó, annál nagyobbak a kockázatok. A biztonsági hibák az Office 2007-es, 2010-es és 2013-as kiadása mellett a Word Viewer, valamint az Office for Mac alkalmazásokat is veszélyeztetik.

Javítás a keretrendszeren

A .Net keretrendszert használó webes szolgáltatások, illetve weboldalak üzemeltetőinek mihamarabb célszerű frissíteniük a szervereiket. Ennek oka, hogy a Microsoft egy adatszivárgásra lehetőséget adó sebezhetőséget szüntetett meg az ASP.NET kapcsán. A vállalat tájékoztatása szerint a problémát az okozza, hogy a támadók összeállíthatnak olyan webes kéréseket, amelyek hatására értékes információkat tartalmazó hibaüzeneteket kaphatnak vissza annak ellenére, hogy ezt a fejlesztők vagy az üzemeltetők korábban letiltották. A visszakapott hibaüzenetben megjelenhetnek a web.config fájl egyes részei, amik bizalmas adatokat is tartalmazhatnak. A sérülékenység a .Net keretrendszer összes eddig megjelent kiadását sújtja.

XSS-hiba a SharePointban

A SharePoint Server 2010-es, illetve 2013-as kiadása két XSS (cross-site scripting) hibát tartalmaz. Ezek kihasználásával a támadók tetszőleges HTML és script kódokat futtathatnak le. A sérülékenységek egyes bemeneti paraméterek nem megfelelő ellenőrzésére vezethetők vissza. Emiatt a támadóknak nincs más dolguk, mint speciálisan összeállított webes kéréseket küldeni a kiszemelt szerverek felé.  

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.