Záporoztak a Microsoft hibajavítások

A Microsoft nem bánt szűkmarkúan a hibajavításokkal. A Windows és az Internet Explorer is tucatnyi frissítéssel gyarapodott. A SharePoint üzemeltetőknek is résen kell lenniük.
 

A Microsoft a novemberi hibajavító kedden az előzetes terveivel ellentétben nem 16, hanem "csak" 14 biztonsági közlemény keretében számolt be az operációs rendszereiben és a különböző alkalmazásaiban befoltozott biztonsági résekről. A novemberi biztonsági közlemények közül négy kritikus, nyolc fontos és kettő mérsékelt veszélyességi besorolást kapott. Természetesen ezúttal is a kritikus sérülékenységek javítására van a legnagyobb szükség, hiszen ezek kihasználásával a támadók teljes mértékben átvehetik az érintett rendszerek feletti irányítást, tetszőleges kódokat futtathatnak, illetve nemkívánatos műveleteket hajthatnak végre.

Az e havi javítások többsége a Windows-t, valamint az Internet Explorert érinti. Összességében elmondható, hogy minden jelenleg támogatással rendelkező Windows kiadás és Internet Explorer verzió frissítésére szükség van. Az operációs rendszer esetében a kliens és a szerver változatok is kaptak foltokat. Ezek mellett a .Net keretrendszerhez, az Office 2007-hez, valamint a SharePoint Serverhez kell telepíteni javításokat. 

A Microsoft egyelőre nem indokolta, hogy miért kettővel kevesebb közleményt adott ki. Ráadásul az egyik egy kritikus veszélyességű hibához tartozott volna, és az Exchange Serverhez jelent volna meg. Mivel az Exchange Serverek frissítése nehézségekbe ütközhet a rendelkezésre állás biztosítása miatt, ezért erre a hibára különösen figyeltek az üzemeltetők, de a patch-re még várniuk kell. Valószínű, hogy a két frissítés a tesztelési eljárásokon akadt fent, és a fejlesztők jobbnak látták elnapolni a foltozást.

Windows javítások

A novemberi hibajavító kedd főszereplője kétségtelenül a Windows volt, amely számos sebezhetőségtől vált megszabadíthatóvá a most megjelent frissítéseknek köszönhetően. Ha a veszélyességi besorolások szempontjából vizsgáljuk a frissítéseket, akkor elmondható, hogy kritikus, fontos és mérsékelten veszélyes hibák megszüntetésére is sort kerítettek a fejlesztők. A legtöbb kockázatot hordozó biztonsági rések a Windows Object Linking and Embedding (OLE), a Microsoft Secure Channel (Schannel), valamint a Microsoft XML Core Services (MSXML) összetevők kapcsán merültek fel. A sebezhetőségek mindegyike jogosulatlan távoli kódfuttatásra és az érintett rendszerek feletti irányítás átvételére adhat lehetőséget.

A fontos besorolású közlemények is meglehetősen változatos képet festenek. Az ezekben ismertetett hibák a TCP/IP támogatást, a Windows Audio szolgáltatást, valamint a távoli asztali kapcsolatok (RDP - Remote Desktop Protocol) kezelését sújtják. A sebezhetőségek elsősorban jogosultsági szint emelést és ezáltal jogosulatlan műveletvégrehajtást segíthetnek elő. Az RDP-hiba pedig biztonsági megkötések megkerüléséhez is hozzájárulhat.

A Microsoft hírt adott az IIS (Internet Information Services) egy újonnan felfedezett sérülékenységéről is, amely az IP és domain kezeléssel összefüggő biztonsági korlátozások kijátszását segítheti elő az elkövetők számára. Ez a hiba kizárólag az IIS 8.0-ás, valamint a 8.5-ös kiadásait veszélyezteti, és végső soron védett webes erőforrások kiszolgáltatottá válását idézheti elő. 

A Windows Server kiadásai (2008/2008 R2/2012/2012 R2) egy külön javítást is kaptak, aminek telepítésével az Active Directory Federation Services (AD FS) tehető biztonságosabbá. A szóban forgó hiba elsősorban adatszivárgáshoz járulhat hozzá, és a felhasználók alkalmazásokból történő esetenkénti nem megfelelő kijelentkeztetésére vezethető vissza.

Internet Explorer frissítés

A Microsoft az Internet Explorer esetében 17 sérülékenységet szüntetett meg. Ezek között jó néhány kritikus veszélyességű is akad, amelyek jogosulatlan távoli kódfuttatásra és műveletvégrehajtásra adhatnak módot a támadók számára. A biztonsági hibák között olyan is akad, amely jogosultsági szint emelést, illetve az ASLR védelem megkerülését teheti lehetővé. A sebezhetőségek többsége memóriakezelési rendellenességekre vezethető vissza, és speciálisan szerkesztett weboldalak révén válhatnak kihasználhatóvá. A Microsoft jelezte, hogy a feltárt biztonsági rések miatt az Internet Explorer 6-os kiadásától kezdve egészen az Internet Explorer 11-es verziójáig bezárólag frissíteni kell a böngészőt. 

Folt a keretrendszerre

A .Net Framework egy hibajavítással gyarapodott, amely egy olyan sérülékenységre nyújt gyógyírt, ami a .Net Remotingot is használó alkalmazások esetében jelent kockázatot. A sebezhetőségben rejlő lehetőségek kiaknázásához a támadóknak speciálisan összeállított csomagokat kell küldeniük az érintett szerverek vagy munkaállomások felé. Amennyiben sikerül kihasználniuk a biztonsági rést, akkor jogosultsági szint emelésre nyílhat lehetőségük. A hiba a .Net Framework 1.1-es verziójától kezdve a 4.5.2-es verzióig bezárólag jelen van. 

Office 2007 rendellenességek

Az Office szoftvercsomagban egy fontos besorolású és egy kevésbé veszélyes sebezhetőségre derült fény. Az előbbi a Word alkalmazás futtatásakor jelenthet kockázatot, míg az utóbbi a Microsoft Input Method Editor (IME) (Japanese) összetevőt érinti. A Word sebezhetősége távoli kódfuttatáshoz járulhat hozzá, míg a másik hiba kihasználásával a támadók kitörhetnek a sandbox adta védelmi keretek közül, és a rendszerbe aktuálisan bejelentkezett felhasználó jogosultsági szintjének megfelelően különböző műveleteket hajthatnak végre. A sérülékenységek kizárólag az Office 2007-es verzióját érintik. 

SharePoint Server patch

A novemberi hibajavítások között egy olyan is található, amely a SharePoint Server 2010-es kiadását hivatott biztonságosabbá tenni. A patch telepítésével egy olyan sérülékenység orvosolható, ami jogosultsági szint emelést tehet lehetővé, majd tetszőleges scriptek futtatásához járulhat hozzá a rendszerbe éppen bejelentkezett felhasználó biztonsági kontextusának megfelelően. A hiba a SharePoint listák kezelése kapcsán merült fel, és speciálisan szerkesztett webes tartalmak megtekintésekor okozhat problémákat. A támadóknak nincs más dolguk, mint rávenni a felhasználót arra, hogy látogasson meg egy ilyen weblapot, akár e-mailben vagy azonnali üzenetküldőben elhelyezett linkekre való kattintással.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.