Alulmaradt az Internet Explorer a foltozásban
Megérkeztek a Microsoft októberi hibajavításai. Mindenki belevetheti magát a Windows, az Internet Explorer, az Edge és az Office foltozásába.A Microsoft az októberi hibajavító kedden kereken tíz biztonsági közleményt tett közzé. Ezek közül öt kapott kritikus veszélyességi besorolást, míg négy fontos és egy mérsékelt kategóriába került. A legkomolyabb támadásokhoz hozzájárulni képes sérülékenységek jogosulatlan távoli kódfuttatást, illetve az érintett rendszerek feletti irányítás teljes körű átvételét is eredményezhetik. Különösen igaz mindez a Microsoft webböngészőiben, illetve a Windows esetében feltárt egyes sebezhetőségekre. Itt kell megjegyezni, hogy az egyik kritikus besorolású közlemény ezúttal is az Adobe Flash Playerhez köthető.
Foltok a böngészőkre
A Microsoft az Internet Explorerhez 11, míg az Edge böngészőhöz 13 hibajavítással rukkolt elő. Vagyis ebben a hónapban az újabb fejlesztésű Edge jutott hozzá több frissítéshez, igaz a korosabb Internet Explorer sem maradt le sokkal. A két alkalmazásban felfedezett sérülékenységek többsége memóriakezelési rendellenességekre vezethető vissza, és speciálisan szerkesztett weboldalakkal válhatnak kihasználhatóvá. Egyes sebezhetőségek adatlopásra, jogosultsági szint emelésre is módot adhatnak a támadók számára. Ezúttal is elmondható, hogy az Internet Explorer 9-es, 10-es és 11-es verzióit is frissíteni kell.
Jöhet a Windows!
Az októberi hibajavító kedden a Windowshoz öt dedikált közlemény társult. Ezek közül egy érdemelt ki kritikus besorolást. A legveszélyesebb sebezhetőség a Microsoft Video Control összetevőt sújtja, és speciálisan szerkesztett multimédiás fájlok feldolgozásakor vezethet károkozásokhoz. Ekkor tetszőleges kódokkal történő visszaélésekre adhat lehetőséget. Különösen akkor jelent kiemelt kockázatot, ha a felhasználó rendszergazdai jogosultságok birtokában használja a számítógépét.
A Windows a kritikus hiba mellett több fontos és egy mérsékelt besorolású sérülékenységtől is megszabadult. Ezek az alábbi komponenseket, funkciókat érintik:
- kernel módú driverek
- Windows Registry
- Diagnostics Hub
- Microsoft Internet Messaging API.
A fenti biztonsági hibák elsősorban adatlopást és jogosultsági szint emelést segíthetnek elő. A Windows összes jelenleg támogatott verziója frissítésre szorul a Vistától kezdődően a Windows 10 legújabb (1607) kiadásáig bezárólag. A Server változatok esetében a 2008/2008 R2 és a 2012-es verzió kapott foltokat, a Windows Server 2016 most még megúszta.
Office hibajavítás
Az Office szoftvercsomag egy hibajavítással lett gazdagabb. A frissítés kiadására azért volt szükség, mert az RTF-dokumentumok feldolgozásába egy hiba csúszott, aminek következtében jogosulatlan távoli kódfuttatásra adódhat lehetőség. A támadónak mindössze azt kell elérnie, hogy a felhasználó megnyisson egy kártékony, RTF-formátumú állományt. A rendellenességet a Word alkalmazás tartalmazza a 2007-es verziótól kezdődően a legújabb 2016-os kiadásig bezárólag. A frissítésre a Mac felhasználóknak is célszerű figyelniük, ugyanis a 2011-es és a 2016-os Word for Mac is sebezhetőnek bizonyult.
Végül egy "mindent bele" típusú javítás
A Microsoft az egyik grafikus összetevőjében több kritikus veszélyességű sérülékenységre lett figyelmes. A biztonsági hibák ugyanakkor nem kizárólag az általuk jelentett kockázatok miatt érdemelnek különös figyelmet, hanem azért is, mert rengeteg Microsoft megoldás kapcsán vethetnek fel biztonsági problémákat. Az érintett termékek listáján szerepel a Windows, az Office, a Skype for Business, a Silverlight, a Microsoft Lync és a .NET Framework is. A kockázatokat tovább fokozza, hogy a sebezhetőség számos módon kihasználhatóvá válhat, így weboldalak vagy ártalmas dokumentumok révén is. A Windows GDI és GDI+ esetében feltárt biztonsági rések bizonyos körülmények között a célkeresztbe állított rendszert teljes mértékben kiszolgáltatottá tehetik.
A MS16-120-as közlemény keretében a grafikus összetevők hibái mellett egy Win32k sérülékenységről és két True Type kezelési rendellenességről is beszámoltak a Microsoft fejlesztői. Ezek ugyan valamivel kisebb kockázatot jelentenek, de ennek ellenére nem érdemes félvállról venni a javításukat.
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk a Biztonságportál Prémium weblapjain olvashatók.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.