Nyugis lesz a januári patch kedd

Január 13-án, a hónap második keddjén egyetlen biztonsági frissítést ad ki a Microsoft. A vállalat a Windows operációs rendszerekben felfedezett sebezhetőséget javítja, azonban a sérülékenység csak a Windows 2000-en kapott kritikus besorolást, az ennél újabb rendszereken alacsony biztonsági kockázatot jelent. A Windows Server Core telepítéseket a hiba egyáltalán nem is érinti. A patch telepítése újraindítást igényelhet, derül ki a Microsoft előzetes értesítéséből.

A tavaly ősszel nagy vihart kavaró SMB-sebezhetőséget egyelőre nem javítja a Microsoft, ugyanis még nem készült el a megfelelő patch. A Windows 7 és Windows Server 2008 R2 operációs rendszereket érintő hiba kihasználásával támadók megbéníthatják a számítógépeket, válaszképtelenné téve azokat. Jerry Bryant, a Microsoft szakértője a vállalat biztonsági blogjában azt írja, a javítás már készül. A vállalat egyelőre nem tud róla, aktívan kihasználják-e a sérülékenységet a nyilvánosságra hozott mintakódokkal.

A cég a patch kiadásáig azt javasolja a felhasználóknak, a gépeken és az előttük lévő tűzfalakon tiltsák le az SMB által tipikusan használt 139-es és 445-ös portokat, vagy korlátozzák a működést a megbízható hosztokra vagy IP-tartományra. Amennyiben nincs szükség az SMB szolgáltatásra, akár teljesen ki is lehet kapcsolni. Az SMB a fájl- és nyomtatómegosztásért felel Windows környezetben.

Az IIS-ben nemrégiben felfedezett hibát sem javítja most a Microsoft. Nemrég kiderült, hogy az Internet Information Services hibásan kezeli a pontosvesszőt és nagyon megengedő biztonsági beállítások mellett lehetővé teszi, hogy egy végrehajtható .ASP állomány kikerülje a biztonsági rutinellenőrzést, majd mégis lefusson. Ehhez mindössze egy pontosvesszővel tagolt .JPG kiterjesztést kell adni az ASP-fájlhoz.