Lazára vette a figurát a Microsoft

A Microsoft mindössze négy biztonsági közleményt tett közzé az év első hibajavító keddjén. Elsősorban a Word foltozására érdemes figyelni.
 

Rég nem láttunk olyan laza hibajavító keddet, mint amilyen a mostani volt. Úgy tűnik, hogy a Microsoft későbbre tartogatja az "izgalmakat", és a fejlesztők még csak ízlelgetik az új évet. Mindenesetre most van egy szusszanásnyi idő arra, hogy a korábban esetleg elmaradt frissítéseket mindenki bepótolja. Természetesen eközben azért nem szabad megfeledkezni a januári javításokról sem, hiszen azok között is akadnak olyanok, amik kritikus veszélyességű sérülékenységeket orvosolnak.
 
A januári közlemények közül kettő kapott kritikus veszélyességi besorolást, míg a másik kettő fontos minősítéssel rendelkezik. A legveszélyesebb sérülékenységek megszüntetésére az Office, illetve a Flash Player kapcsán került sor. Ez utóbbi ugyan az Adobe fennhatósága alá tartozik, de a legújabb böngészőihez a Microsoft a Windows Update-en keresztül is biztosít Flash-frissítéseket.
 
Kezdjük az Office-szal
 
A Microsoft a januári hibajavító kedden az Office-t helyezte középpontba, amelyhez egy hibajavítást adott ki. A kritikus veszélyességűnek ítélt sebezhetőség speciálisan szerkesztett Office dokumentumokkal, fájlokkal válhat kihasználhatóvá. Amikor erre sor kerül, akkor jogosulatlan távoli kódfuttatásra adódhat lehetőség. Minél több jogosultság birtokában használja a felhasználó a számítógépét, annál nagyobb hatalmat szerezhetnek a támadók a célkeresztbe állított PC felett. A memóriakezelési rendellenességekre visszavezethető sérülékenység elsősorban a Word 2016-os kiadását érinti, de a SharePoint Enterprise Server 2016 is frissítésre szorul.
 
Folt az Edge-re
 
A Microsoft Edge webböngésző mindössze egy hibajavítást kapott. Ezzel egy olyan biztonsági hibát lehet kiküszöbölni, amely speciálisan szerkesztett weboldalak megtekintésekor fejtheti ki nemkívánatos hatását. Ekkor ugyanis jogosultsági szint emelést tehet lehetővé a támadók számára, akiknek ilyen módon jogosulatlan műveletvégrehajtásra nyílhat lehetőségük. A böngészőt Windows 10 és Windows Server 2016 alatt is foltozni kell. Ezúttal az Internet Explorer nem kapott hibajavítást.
 
LSASS-hiba
 
A Windows a januári hibajavító kedden egyetlen biztonsági frissítéssel gyarapodott. A megszüntetett sebezhetőség az LSASS (Local Security Authority Subsystem Service) kapcsán merült fel. A Microsoft szerint egy olyan rendellenességről van szó, amely szolgáltatásmegtagadási támadások végrehajtását segítheti elő. Sebezhető LSASS szolgáltatásnak küldött, speciálisan szerkesztett authentikációs kérések hatására az érintett komponens összeomolhat, ami végül a Windows újraindulásához vezethet. Frissítésre a Windows Vista, a Windows 7 és a Windows Server 2008/2008 R2 esetében van szükség.
 
A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk a Biztonságportál Prémium weblapjain olvashatók.