Javítások tucatjaival búcsúztatja az évet a Microsoft

A Microsoft kiadta az idei év utolsó hibajavításait a Windows-hoz, az Internet Explorerhez, valamint néhány egyéb alkalmazásához. Az év végére is maradt bőven frissíteni való.
 

A decemberi hibajavító kedden összesen egy tucat biztonsági közlemény keretében számolt be a Microsoft a különféle sérülékenységekről. A tájékoztatók fele kritikus veszélyességi besorolást kapott, vagyis olyan sebezhetőségekről szólnak, amelyek akár teljes mértékben kiszolgáltatottá tehetik az érintett rendszereket.

A frissítések ebben a hónapban is érintik a Windows operációs rendszer összes jelenleg támogatással rendelkező kiadását, az Internet Explorer és az Edge böngészőket, valamint a .Net keretrendszert. A szokásoknak megfelelően ezúttal is kapott frissítést a Flash Player, amely szintén kritikus hibáktól vált meg.

Windows frissítések

A Microsoft a decemberi hibajavító kedden is a Windows-hoz adta ki a legtöbb javítást. Összesen hét biztonsági közlemény vált elérhetővé az operációs rendszerhez, amelyek közül kettő érdemelt ki kritikus minősítést, míg a többi fontos besorolást kapott.

A legtöbb kockázatot hordozó sebezhetőségekre a Windows grafikus összetevői (GDI), valamint az Uniscribe kapcsán derült fény. Ezek a biztonsági rések jogosulatlan távoli kódfuttatásra, illetve tetszőleges kódokkal történő visszaélésekre adhatnak módot. Egyes esetekben a hibák kihasználásához az is elég lehet a támadó számára, ha a felhasználó megnyit egy speciálisan szerkesztett weboldalt vagy dokumentumot.

A Windows fontos besorolású hibajavításai a következő összetevőket, funkciókat érintik:
- kernel
- kernel módú driverek (Win32k)
- Windows Common Log File System (CLFS).

A fenti hibák egyebek mellett adatszivárgáshoz, valamint jogosultsági szint emeléshez is hozzájárulhatnak. 

Foltok a böngészőkre

A decemberi hibajavító kedd sem telt el az Internet Explorer és az Edge frissítése nélkül. A böngészők olyan kritikus sérülékenységektől szabadultak meg, amelyek speciálisan szerkesztett weboldalakkal, illetve kártékony webes tartalmakkal válhatnak kihasználhatóvá. Az Internet Explorer nyolc, míg az Edge alkalmazás tizenegy folttal gyarapodott. A legproblémásabb sebezhetőségek jogosulatlan távoli kódfuttatásra adhatnak módot, de a kockázatok listáján feltűnik a védelmi mechanizmusok megkerülhetősége és az adatlopások lehetősége is. 

A frissítések az Edge mellett az Internet Explorer minden jelenleg támogatással rendelkező verzióját érintik a 9-es kiadástól kezdődően a 11-es verzióig bezárólag.

Office hibajavítások

Az Office szoftvercsomaghoz több mint egy tucat hibajavítás vált elérhetővé. Összességében egy kritikus besorolású frissítő "csomagról" van szó, amely jogosulatlan távoli kódfuttatásra, biztonsági megkötések megkerülésére és adatlopásra is lehetőséget adó sérülékenységeket orvosol.

A biztonsági hibák elsősorban memóriakezelési rendellenességekre, paraméter-, illetve dokumentumellenőrzési hiányosságokra vezethetők vissza, és speciálisan szerkesztett Office állományok megnyitásakor okozhatnak problémákat. Fontos megjegyezni, hogy a Windows kompatibilis kiadások mellett a Mac-es verziók is sérülékenyek.

.Net frissítések

A Microsoft a .Net keretrendszeréhez egy hibajavítást tett letölthetővé. A sebezhetőséget az SQL Serverhez tartozó adatelérési komponens tartalmazza. A hiba olyan adatokhoz is jogosulatlan hozzáférést tehet lehetővé, amelyeket az Always Encrypted funkciónak kellene védenie. Vagyis a sérülékenység adatszivárogtatást segíthet elő. A Microsoft szerint a biztonsági rés a .Net Framework 3.5 és az annál újabb verzióiban van jelen.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk a Biztonságportál Prémium weblapjain olvashatók.