Visszafogottra sikerült a májusi hibajavító kedd
Viszonylag lazára sikerült a Microsoft és az Adobe májusi biztonsági frissítése, de ettől még nem célszerű elodázni a javítások telepítését.
A Microsoft és az Adobe is kiadta a májusi biztonsági hibajavításait. Az előbbi összesen 34, míg az utóbbi 14 biztonsági rést foltozott be. A korábbi hónapokhoz képest ez nem nagy szám, de azért így is akad bőven teendő mind az egyéni, mind a vállalati, intézményi felhasználók körében.
A Microsoft által megszüntetett sérülékenységek közül hat kapott kritikus besorolást. Ezek a hibák teljes mértékben kiszolgáltatottá tehetik az érintett rendszereket, és a Windows mellett a SharePoint Servert is sújtják. A sérülékenységek összessített kockázati listáján megtaláljuk a jogosulatlan kódfuttatás, az adatszivárogtatás, az adatmanipuláció és a szolgáltatásmegtagadás lehetőségét is. Egyes hibák pedig védelmi mechanizmusok megkerülését segíthetik elő.
A Windows esetében három biztonsági rés nulladik napi sebezhetőségnek minősült:
- CVE-2023-29336 - Win32k
- CVE-2023-24932 - Secure Boot
- CVE-2023-29325 - Windows OLE
A Microsoft operációs rendszere mellett fontos frissítéseket kapott a SharePoint Server, az Office szoftvercsomag (Access, Excel és a Word), valamint a Teams, a távoli asztali kapcsolatokat lehetővé tevő RDP-kliens, a SysInternals, illetve a Visual Studio Code is.
Adobe frissítések
Az Adobe is meglehetősen visszafogott javítással készült a májusi hibajavító keddre. Egyedül a Substance 3D Painter alkalmazásához adott ki frissítéseket. Ezek révén összesen 14 sérülékenységet orvosolt. A sebezhetőségek kockázatai között megtalálható a tetszőleges kódokkal történő visszaélések, valamint az adatszivárgások lehetősége is. A biztonsági hibák speciálisan összeállított, multimédiás állományokkal válhatnak kihasználhatóvá.
Arra egyelőre nem utal semmi, hogy a szóban forgó biztonsági rések korábbi támadásokban már szerephez jutottak volna, de ettől függetlenül nem célszerű halogatni a frissítést. A szoftver 8.3.1-es verziója már nem tartalmazza a feltárt sérülékenységeket.
A fenti hibajavításokkal, sebezhetőségekkel kapcsolatban további információk a Biztonságportál Prémium weboldalain olvashatók.
-
Az IBM Db2 egy újabb biztonsági javítással bővült.
-
A Docker fejlesztői egy több éve létező biztonsági rést foltoztak be.
-
A Trend Micro VPN Proxy One Pro egy biztonsági hiba miatt kapott frissítést.
-
Négy biztonsági hiba látott napvilágot az ISC BIND kapcsán.
-
Több mint egy tucat biztonsági javítással érkezett meg a legújabb Chrome verzió.
-
A Zyxel számos vezeték nélküli hozzáférési ponthoz adott ki biztonsági frissítést.
-
A Juniper több hibát javított a Junos OS-ben.
-
A Vtiger CRM két biztonsági hiba miatt kapott frissítést.
-
Az IBM WebSphere Application Serverhez egy biztonsági frissítés vált letölthetővé.
-
A SolarWinds kritikus sebezhetőségeket is orvosolt az ARM esetében.
A hibás CrowdStrike-frissítés okozta széleskörű informatikai leállások előtérbe helyezték a szoftverfrissítések kérdését. Frissítsünk vagy inkább ne?
Az ESET legújabb Threat Report jelentése átfogó képet ad az ESET szakértői csapata által 2023 decemberétől 2024 májusáig megfigyelt fenyegetettségi trendekről.
