Alulmaradt az Internet Explorer a foltozásban

Megérkeztek a Microsoft októberi hibajavításai. Mindenki belevetheti magát a Windows, az Internet Explorer, az Edge és az Office foltozásába.
 

A Microsoft az októberi hibajavító kedden kereken tíz biztonsági közleményt tett közzé. Ezek közül öt kapott kritikus veszélyességi besorolást, míg négy fontos és egy mérsékelt kategóriába került. A legkomolyabb támadásokhoz hozzájárulni képes sérülékenységek jogosulatlan távoli kódfuttatást, illetve az érintett rendszerek feletti irányítás teljes körű átvételét is eredményezhetik. Különösen igaz mindez a Microsoft webböngészőiben, illetve a Windows esetében feltárt egyes sebezhetőségekre. Itt kell megjegyezni, hogy az egyik kritikus besorolású közlemény ezúttal is az Adobe Flash Playerhez köthető.
 
Foltok a böngészőkre
 
A Microsoft az Internet Explorerhez 11, míg az Edge böngészőhöz 13 hibajavítással rukkolt elő. Vagyis ebben a hónapban az újabb fejlesztésű Edge jutott hozzá több frissítéshez, igaz a korosabb Internet Explorer sem maradt le sokkal. A két alkalmazásban felfedezett sérülékenységek többsége memóriakezelési rendellenességekre vezethető vissza, és speciálisan szerkesztett weboldalakkal válhatnak kihasználhatóvá. Egyes sebezhetőségek adatlopásra, jogosultsági szint emelésre is módot adhatnak a támadók számára. Ezúttal is elmondható, hogy az Internet Explorer 9-es, 10-es és 11-es verzióit is frissíteni kell.
 
Jöhet a Windows!
 
Az októberi hibajavító kedden a Windowshoz öt dedikált közlemény társult. Ezek közül egy érdemelt ki kritikus besorolást. A legveszélyesebb sebezhetőség a Microsoft Video Control összetevőt sújtja, és speciálisan szerkesztett multimédiás fájlok feldolgozásakor vezethet károkozásokhoz. Ekkor tetszőleges kódokkal történő visszaélésekre adhat lehetőséget. Különösen akkor jelent kiemelt kockázatot, ha a felhasználó rendszergazdai jogosultságok birtokában használja a számítógépét.
 
A Windows a kritikus hiba mellett több fontos és egy mérsékelt besorolású sérülékenységtől is megszabadult. Ezek az alábbi komponenseket, funkciókat érintik:
- kernel módú driverek
- Windows Registry
- Diagnostics Hub
- Microsoft Internet Messaging API.
 
A fenti biztonsági hibák elsősorban adatlopást és jogosultsági szint emelést segíthetnek elő. A Windows összes jelenleg támogatott verziója frissítésre szorul a Vistától kezdődően a Windows 10 legújabb (1607) kiadásáig bezárólag. A Server változatok esetében a 2008/2008 R2 és a 2012-es verzió kapott foltokat, a Windows Server 2016 most még megúszta.
 
Office hibajavítás
 
Az Office szoftvercsomag egy hibajavítással lett gazdagabb. A frissítés kiadására azért volt szükség, mert az RTF-dokumentumok feldolgozásába egy hiba csúszott, aminek következtében jogosulatlan távoli kódfuttatásra adódhat lehetőség. A támadónak mindössze azt kell elérnie, hogy a felhasználó megnyisson egy kártékony, RTF-formátumú állományt. A rendellenességet a Word alkalmazás tartalmazza a 2007-es verziótól kezdődően a legújabb 2016-os kiadásig bezárólag. A frissítésre a Mac felhasználóknak is célszerű figyelniük, ugyanis a 2011-es és a 2016-os Word for Mac is sebezhetőnek bizonyult.
 
Végül egy "mindent bele" típusú javítás
 
A Microsoft az egyik grafikus összetevőjében több kritikus veszélyességű sérülékenységre lett figyelmes. A biztonsági hibák ugyanakkor nem kizárólag az általuk jelentett kockázatok miatt érdemelnek különös figyelmet, hanem azért is, mert rengeteg Microsoft megoldás kapcsán vethetnek fel biztonsági problémákat. Az érintett termékek listáján szerepel a Windows, az Office, a Skype for Business, a Silverlight, a Microsoft Lync és a .NET Framework is. A kockázatokat tovább fokozza, hogy a sebezhetőség számos módon kihasználhatóvá válhat, így weboldalak vagy ártalmas dokumentumok révén is. A Windows GDI és GDI+ esetében feltárt biztonsági rések bizonyos körülmények között a célkeresztbe állított rendszert teljes mértékben kiszolgáltatottá tehetik.
 
A MS16-120-as közlemény keretében a grafikus összetevők hibái mellett egy Win32k sérülékenységről és két True Type kezelési rendellenességről is beszámoltak a Microsoft fejlesztői. Ezek ugyan valamivel kisebb kockázatot jelentenek, de ennek ellenére nem érdemes félvállról venni a javításukat.
 
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk a Biztonságportál Prémium weblapjain olvashatók.