Szerző: Gálffy Csaba

2014. december 15. 10:22:00

Két frissítést is visszavont a Microsoft

Két problémás frissítést is visszavont a decemberi patch kedd után a Microsoft. A gyökértanúsítványok frissítése és az Exchange Server javítása is fut még egy kört a cég minőségbiztosítási részlegén.

Nem törte meg a hagyományokat a Microsoft, a rendszerint kevés frissítést hozó december most hét javítással érkezett, amelyek összesen 24 különböző sebezhetőséget foltoznak. A hónap egyik sztárja az Internet Explorerhez érkezett javítócsomag, amely egymagában 11 kritikus és három "fontos" besorolású sebezhetőséget javít ki a Microsoft böngészőjében. A sérülékenységek a böngésző változatos részeit érintik, így van a biztonságot gyengítő ASLR-hiba vagy a scripteket rossz biztonsági kontextussal futtatását lehetővé tévő sebezhetőség is - ezek önmaguknak nem, csupán más hibákkal kombinálva végzetesek. A kritikus hibák közül 10 a böngésző memóriakezelését érinti, a sebezhetőséget kihasználva a támadók távoli kódfuttatást érhetnek el a megcélzott számítógépen.

Két kritikus frissítést kapott a Word, mindkettő a szövegszerkesztő memóriakezelésében található problémát javít. A kritikus besorolásnak megfelelően ezek a sebezhetőségek is távoli kódfuttatást tesznek lehetővé a támadó számára, a felhasználó teljes megkerülésével. A Windows grafikus alrendszerében található hiba információszerzést tesz lehetővé - ezt is most javította a Microsoft. A JPEG képek memóriában történő feldolgozása során olyan parancsok adhatóak a Microsoft Graphics Componentnek, amelyek révén feltérképezhető a memóriában tárolt adatok struktúrája, ez pedig más támadásokhoz felhasználható (önmagában azonban nem veszélyes).

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

Az Exchange Server javítása egy "mérsékelt" és három "fontos" besorolású sebezhetőséget orvosol, ezek közül három az Outlook Web Access működésében található. A webes felület XSS (cross site scripting) sebezhetősége révén a támadók a felhasználó biztonsági környezetében futtathatnak scripteket, egy hiba pedig a tokenek validációs algoritmusát érinti.

A frissítések listája és részletes leírása, illetve az érintett termékek felsorolása a Microsoft oldalán érhető el.

Javított javítás

Sajnos lassan a hibás frissítések is kezdenek hagyománnyá válni. A Microsoft minőségellenőrzésén augusztusban is átcsúszott egy problémás javítás, amely egyes gépeknél kékhalált idézett elő, októberben pedig egyenesen négy frissítéssel akadtak problémák. Most is akadt két problémás javítás, a fent említettek közül az Exchange Server frissítését vonta vissza a Microsoft, az érintett az Exchange Server 2010 SP3, a telepítést követően fennáll a veszélye, hogy a kliensek nem tudnak csatlakozni a szerverhez. A cég a felhasználóknak a telepítés elhalasztását javasolja, a már telepített javításokat pedig érdemes lehet sürgősen eltávolítani.

Szintén problémásnak bizonyult a KB3004394 számmal rendelkező frissítés, amely a Windows Root Certificate Programban részt vevő, megbízhatónak minősített gyökértanúsítványok listáját frissíti. A Windows 7 SP1 és a Windows Server 2008 R2 SP1 esetében azonban a frissítés nem várt következményekkel jár, nem megbízhatónak minősíti például az AMD és NVIDIA meghajtók frissítéseit, de a Windows Update működésében is zavarokat idéz elő. A frissítést a Microsoft már visszavonta, az érintett két rendszerről érdemes kézzel eltávolítani azt.

a címlapról

Hirdetés

Python everywhere!

2020. február 23. 11:53

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.