Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Az idei legintenzívebb patch keddre készül a Microsoft

Bodnár Ádám, 2014. május 12. 09:56
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Kettő kritikus és hat fontos besorolású hibajavítást ad ki a Microsoft kedden, az összes támogatott Windows-verzió érintett, beleértve a Server Core telepítéseket, valamint az RT változatokat is, emellett az Office-okat és egyes szerverszoftvereket is javítani kell.

hirdetés

Közzétette a májusi patch keddre vonatkozó előzetes információkat a Microsoft, hogy a rendszerüzemeltető szakemberek fel tudjanak készülni a javítások érkezésére és meg tudják tervezni a frissítések telepítését. Idén először viszonylag intenzív lesz a patch kedd, összesen nyolc javítás érkezik a redmondi vállalat különféle szoftvereire.

Két kritikus sérülékenység

A legfontosabbnak az Internet Explorer kritikus, távoli kódfuttatást lehetővé tevő sebezhetőségére kiadott patch tűnik a nyolcból, ez telepítést követően újraindítást is igényel. Érdemes tudni, hogy ez a probléma csak a kliens operációs rendszereken kapott "kritikus" besorolást, a szerverváltozatokon csak "mérsékelt", a Server Core telepítéseket pedig egyáltalán nem is érinti, mivel ezek nem tartalmazzák a böngészőt.

A másik kritikus sérülékenység a SharePoint Serverben található, ennek 2007, 2010 és 2013 verziójában egyaránt jelen van a kiadott előzetes értesítés szerint. A távoli kódfuttatásra alkalmas szoftverhiba emellett a SharePoint Designer (2007, 2010, 2013), a SharePoint Server 2013 Client Components SDK, valamint Office Web Apps (2010, 2013) termékekben is megtalálható. A javítás telepítéséhez elképzelhető, hogy újraindításra lesz szükség.

A Microsoft javít egy távoli kódfuttatási sebezhetőséget az Office-ban, amely fontos besorolást kapott, ami azt jelenti, felhasználói interakció nélkül nem aknázható ki. Szintén az Office-ok támogatott változataiban (2007 és újabb) találtak egy olyan hibát, amely beépített biztonsági képesség megkerülését teszi lehetővé a támadók számára, és "fontos" besorolású. A javítások telepítéséhez újraindításra lehet szükség az előzetes értesítés szerint.

A Windows XP-t és sok más terméket már nem frissíti a Microsoft

A nyolc patchből összesen öt érkezik Windowsokhoz. Ez az XP-felhasználók számára azért aggasztó, mert a bűnözők a kiadott javítások visszafejtésével felderíthetik az operációs rendszer gyenge pontjait és támadó kódokat hozhatnak létre, miközben az XP-hez javítások már nem érkeznek a Microsofttól. A védtelen XP-s gépek kedvelt célpontjai lehetnek a "drive by" támadásoknak, amely során a felhasználót egy rosszindulatú kódot tartalmazó oldal meglátogatására veszik rá és egy sebezhetőséget kihasználva támadó szoftvert telepítenek a PC-jére.

Érdemes tudni, hogy áprilisban nem csak a Windows XP támogatása szűnt meg, hanem ezzel együtt az Office 2003, az Exchange Server 2003 és a Small Business Server is végleg nyugdíjba ment, ezek felhasználói a jövőben szintén nagyobb biztonsági kockázatnak lesznek kitéve. Utóbbi két termék leváltására érdemes lehet megfontolni az egyre több szolgáltatást nyújtó szabad szoftveres alternatívákat, illetve felhős szolgáltatásokat is. Emellett a Windows 8.1-et használóknak fontos információ, hogy amennyiben nem telepítették a közelmúltban kiadott Update-et, májusban már nem kapnak biztonsági frissítéseket az operációs rendszerükhöz.

A HWSW 2014. június 4-én tartja az idei App!system konferenciát, külön biztonsági szekcióval, ahol többek között szó lesz a szerverek és munkaállomások lokális biztonságáról is, valamint a Small Business Server és Exchange leváltására is alkalmas, nyílt forrású Zentyalról. A rendezvény részletes programja és a regisztráció itt érhető el.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!