Szerző: Bodnár Ádám

2014. január 13. 09:53

Csendes lesz a januári patch kedd a Microsoftnál

Csupán négy javítással készül a Microsoft a januári patch keddre, derül ki az előzetes értesítésből. Foltot kap a Windows néhány verziója, az Office, a SharePoint, valamint a Dynamics AX.

Örülhetnek a Microsoft-környezeteket üzemeltető rendszergazdák, viszonylag nyugodtnak ígérkezik számukra az év első frissítőkeddje. Az előzetes értesítés szerint mindössze négy javítást tesz közzé a redmondi szoftvercég, ezek közül pedig egyik sem kapott kritikus besorolást, így a telepítésük sem olyan sürgős.

A vállalat két, jogosultságkiterjesztésre alkalmas hibát javít a Windowsokban, de érdekes módon nem minden verziót érint a sebezhetőség. Az előzetes értesítés alapján a Windows XP és a Windows Server 2003 érintett, a Windows Vista és a Server 2008 nem, a Windows 7 és a Server 2008 R2 pedig igen. Utóbbi esetben rossz hír, hogy az egyik patchet a Server Core telepítésekre is fel kell tenni, ráadásul a frissítési folyamat feltétlenül újraindítást is igényel. A Windows 7-nél, illetve Server 2008 R2-nél újabb Windows-verziók nem érintettek a mostani patch keddben.

Az egyik frissítés egy novemberben felfedezett hibát javít, amelyre a Microsoft már akkor fel is hívta a figyelmet. Ez a hiba csak Windows XP és Windows Server 2003 operációs rendszereken van jelen, az újabb verziókat nem érinti, ugyanakkor a FireEye biztonsági cég szerint már aktívan támadják. A sérülékenységet kihasználva a támadók kernelszintű jogosultságot érhetnek el, ennek birtokában pedig szinte bármit megtehetnek: adatokat lophatnak, törölhetnek vagy módosíthatnak, programokat telepíthetnek, adminisztrátori jogosultsággal rendelkező felhasználói fiókokat hozhatnak létre vagy további gépek ellen indíthatnak támadásokat például.

Frissíteni kell az Office-t, a Microsoft az összes támogatott verzióhoz ad ki javítást, az előzetes értesítés alapján a Wordben fedeztek fel egy távoli kódfuttatásra alkalmas sebezhetőséget, amely azonban csak "fontos" besorolást kapott, ami valószínűleg azt jelenti, felhasználói interakcióra van szükség a támadás sikeres kivitelezéséhez. A hiba nem csak a Wordöt, hanem a SharePoint Servert (2010, 2013), illetve az Office Web Appset (2010, 2013) is érinti.

A negyedik javítás a Dynamics AX üzleti szoftverhez érkezik, ebben egy szolgáltatásmegtagadásos támadás indítására alkalmas sebezhetőséget találtak. A vállalatirányítási rendszer 4.0, 2009, 2012 és 2012 R2 verziójához érkezik kedden a frissítés, amelyről egyelőre nem tudni, telepítéskor igényel-e újraindítást. A vállalat weboldalán olvasható információk szerint január 14-én több frissítés érkezik a Windows 8, Windows 8.1 és RT operációs rendszerekhez is, azonban ezek nem biztonsági frissítések.

a címlapról