Kritikus frissítésektől hemzsegett a hibajavító kedd

A Microsoft szeptemberi biztonsági hibajavításainak fele kritikus veszélyességű sebezhetőségeket orvosol. Nem érdemes késlekedni a frissítésekkel.
 

A Microsoft szeptemberi hibajavító keddjén összesen 14 biztonsági közlemény jelent meg. Ezek közül hét kritikus, míg a másik hét fontos veszélyességi kategóriába került. A legtöbb kockázatot hordozó sérülékenységekre a Windows, az Internet Explorer, az Office és az Exchange Server kapcsán derült fény. A kritikus besorolású biztonsági rések jogosulatlan távoli kódfuttatást segíthetnek elő a támadók számára, és esetenként a rendszerek feletti irányítás átvételét eredményezhetik. Az említett szoftverek mellett az érintett termékek listáján szerepel a Flash Player is, amely szintén a legmagasabb veszélyességi kategóriába tartozó hibáktól szabadult meg.
 
Böngészőcsata
 
Az Internet Explorer és az Edge böngésző is nagyon kockázatos sérülékenységeknek intett búcsút. Mindkét webböngészőn egy-egy tucat biztonsági rést foltoztak be a fejlesztők. A sérülékenységek elsősorban speciálisan összeállított weboldalakkal, illetve webes tartalmakkal válhatnak kihasználhatóvá. Ezek megjelenítésekor a szoftverek memóriakezelési hibákat idézhetnek elő, amik végül jogosulatlan távoli kódfuttatást és műveletvégrehajtást eredményezhetnek. Mindezek mellett az Edge PDF-kezelési rendellenességektől is megvált, amik eddig kártékony dokumentumokkal való visszaélésekre adhattak módot. Az Internet Explorer esetében ezúttal is elmondható, hogy az összes jelenleg támogatással rendelkező verziót frissíteni kell a 9-es kiadástól kezdve a 11-es verzióig bezárólag.
 
Windows foltok

A Microsoft a Windows-hoz kilenc biztonsági közleményt adott ki. Ezek közül egy kapott kritikus veszélyességi besorolást. A legveszélyesebb sebezhetőségeket taglaló tájékoztató szerint a probléma ezúttal a Windows GDI (Graphics Device Interface) összetevőjével van, amely weboldalak megjelenítésekor vagy dokumentumok megtekintésekor vezethet károkozásokhoz. A kockázat annál nagyobb, minél több jogosultság birtokában használja a számítógépet a felhasználó.
 
A Windows többi hibajavítása az alábbi összetevőket, funkciókat érinti:
- Kernel
- Microsoft Account (MSA)
- Windows Lock Screen
- Windows SMBv1 Server
- Windows PDF Library
- Microsoft OLE Automation (VBScript Scripting Engine)
- Silverlight.
 
A Windows sérülékenységei összességében jogosulatlan kódfuttatás, jogosultsági szint emelés és adatlopás kockázatát vetik fel. Frissítésre az összes jelenleg támogatással rendelkező Windows verzió esetében szükség van, beleértve a Windows 10 nyári kiadását is.
 
Office javítások
 
A szeptemberi hibajavító kedden az Office, illetve az ahhoz kapcsolódó összetevők, szolgáltatások több mint egy tucat biztonsági hibajavítással gazdagodtak. A legveszélyesebb sérülékenységek jogosulatlan távoli kódfuttatást tehetnek lehetővé. Az alacsonyabb kockázati besorolású sebezhetőségek pedig adatszivárogtatásra, illetve biztonsági megkötések megkerülésére (pl. az ASLR-védelem kijátszására) adhatnak módot. A biztonsági rések speciálisan szerkesztett Office dokumentumokkal válhatnak kihasználhatóvá. A támadóknak a céljaik eléréséhez mindössze arra van szükségük, hogy a felhasználó egy ilyen állományt megnyisson a számítógépén.
 
Frissítések az Office 2007-es, 2010-es, 2013-as és 2016-os verzióihoz is érkeztek.
 
Végül, de nem utolsó sorban: Exchange Server
 
Az Exchange Serverhez fontos biztonsági frissítések váltak letölthetővé. A Microsoft az MS16-108-as közleményét kritikus minősítéssel látta el, és összesen három sebezhetőségről adott tájékoztatást. Ezek elsősorban adatlopásra, adatmanipulációra, illetve jogosultsági szint emelésre adhatnak lehetőséget. A hibák speciálisan összeállított elektronikus levelekkel, URL-ekkel, illetve meghívókkal válhatnak kihasználhatóvá. Az érintett termék listáján az Exchange Server 2007-es, 2010-es, 2013-as és 2016-os verziója is szerepel.
 
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk a Biztonságportál Prémium weblapjain olvashatók.