Szerző: Voith Hunor

2015. March 11. 10:24:00

Méretes csomag érkezett a márciusi patch-kedden

A közelmúlt egyik legnagyobb javítási csomagját adta ki tegnap a Microsoft. A márciusi patch-kedd 14 biztonsági frissítést tartalmaz, és többek között orvosolja a FREAK sérülékenységet, valamint a tavaly év vége óta ismert, Internet Explorer 10-et és 11-et érintő XSS (cross-site scripting) hibát is. A vállalat a tegnapi frissítőcsomaggal egyelőre lekerült a Google Project Zero listájáról.

Igazán tartalmas frissítőcsomagot adott ki a Microsoft tegnap, a menetrendszerinti márciusi patch-kedden. Összesen 14 különálló biztonsági javítás érkezett, ezek közül öt kapott kritikus, a maradék kilenc pedig fontos besorolást. Többségük Windows-sérülékenységeket foltoz be, de akad egy-egy Office, Exchange és Internet Explorer frissítés is. A frissítések közül az MS15-18 a legnagyobb, ez tartalmazza többek között a tavaly év vége óta ismert, de az előző hónapban javítatlanul hagyott XSS (cross-site scripting) hiba javítását is, egyéb, az Internet Explorer 6-11 verzióit érintő sérülékenységek befoltozása mellett.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

Az MS15-019 a VBScript scripting motorjának hibáját javítja, melynek kihasználásával a támadó a célgépen éppen bejelentkezett felhasználóéval megegyező, tehát akár adminisztrátori szintű jogosultságokat is szerezhetett. Az MS15-020 és MS15-021 frissítések szintén távoli kódfuttatásra alkalmas hibákat javítanak: előbbi a Microsoft Text Services objektumkezelését valamint a Windows DLL fájlok betöltésének módját javítja, utóbbi pedig egy Adobe Font Driver hibát küszöböl ki – mindkettő lehetőséget nyújtott arra, hogy egy támadó teljhatalmat szerezzen egy kompromittált rendszer felett.

Az utolsó kritikus osztályozású frissítés az Office összes támogatott verzióját (2007, 2010 és 2013) valamint számos SharePoint szerveralkalmazást érinti, a hibák kihasználása ezekben az esetekben is távoli kódfuttatásra adott lehetőséget.

A fontos besorolású frissítések közül az MS15-031 a múlt héten nyilvánosságra hozott SSL/TLS, FREAK (Factoring attack on RSA-EXPORT Keys) kódnevű hiba kihasználását akadályozza meg. Ez egy, a korai '90-es évek óta ismert, beépített titkosítási gyengítést aknáz ki, hogy rávegyen egy adott szervert a mainál sokkal gyengébb és órák alatt feltörhető, legfeljebb 512 bites RSA kulcsok alkalmazására a kommunikációs csatorna titkosítására. A FREAK-ről részletesen itt írtunk. Az akkori információk alapján a Windowst a hibát felfedező szakértők még nem sorolták a veszélyeztetett operációs rendszerek közé, néhány nappal később azonban kiderült, a Microsoft rendszerei is érintettek.

A tegnapi frissítőcsomag kiadásával a Microsoft egyúttal az összes Project Zero kezdeményezés keretében nyilvánosságra hozott sérülékenységet javította. A Google és Microsoft között januárban robbant ki egy nagyobb sajtóvisszhangot generáló vita, amikor a keresőóriás a saját maga által szabott határidő lejártával nyilvánosságra hozott egy kritikus hibát a Windows 8.1-ben, az annak kihasználását bemutató példakóddal együtt – azelőtt, hogy a Microsoft kiadta volna a hibajavítást. A redmondi vállalat akkor hosszas állásfoglalásban ítélte el a gyakorlatot, a Google azonban rendíthetetlen, a cég szerint csak akkor érhető el érdemi változás a biztonsági kérdések szerintük lassú kezelésének gyakorlatában, ha valaki – ebben az esetben a Google – nyomást gyakorol a piac érintett szereplőire.

a címlapról