Vékony eresztés a júniusi patch-kedd

Nem lett túl hosszú a júniusi patch-kedden kiadott javítások listája, de valószínűleg ezt senki sem bánja, miután az elmúlt hónapokban szép kövér csomagok érkeztek a Microsofttól. A tegnap kiadott javítások között két kritikus és hat fontos besorolású található, és vagy távoli kódfuttatásra, vagy jogosultságemelésre kihasználható hibákat orvosolnak.

Mondhatni szokásos módon a kritikus bulletinek egyike (MS15-056) az Internet Explorer sérülékenységeit foltozza, a böngésző 6-ostól 11-esig terjedő verzióiban, Windows Server 2003 SP2-től felfelé minden operációs rendszeren. A hiba segítségével a támadók az adott felhasználóéval megegyező jogosultsági szinten hajthatnak végre távoli kódfuttatást. A másik kritikus bulletin (MS15-057) a Windows Media Playert (10-12-es verziók) érinti Windows Server 2003 SP2-től Windows 7 SP1-ig és Windows Server 2008 R2 SP1-ig bezárólag - Windows 8.1 és Windows Server 2012 R2 felhasználóknak tehát emiatt nem kell aggódnia.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A további hat bulletin közül négy a különböző Windows-verziók sérülékenységeit érinti, egy az Office-ra, egy pedig az Exchange Serverre vonatkozik. Érdekesség, hogy az ezekben ismertetett sérülékenységek közül számosat a Google Project Zero keretén belül jelentettek a Microsoftnak, de a vállalat most időben reagált, és a jelzett hibákból nem lett a korábbihoz hasonló balhé. Bár a két cég meglehetősen eltérő álláspontot képvisel a hibák nyilvánosságra hozásával kapcsolatban (erről korábban részletesen itt írtunk), valószínűsíthető, hogy a keresőóriás agresszívabb politikája elég komoly nyomást gyakorol a Microsoftra ahhoz, hogy az csak a legvégső esetben kockáztassa az újabb negatív pr-t.

Ami a bulletineket átfutva feltűnhet: az MS15-057 után egyből az MS15-059 következik, azaz valószínűleg egyet a Microsoft az utolsó előtti pillanatban visszavont. Mivel ritkán, de előfordul, hogy egyes frissítések váratlan hibákat generálnak, ez annyira nem meglepő, de ennek kapcsán érdemes pár szót ejteni a Windows 10 frissítési metódusáról, különösképp a Home változatéról.

Az ugyanis az úgynevezett Current Branch-be, azaz a leggyorsabb frissítési ágba fog tartozni, melyben a felhasználók egyáltalán nem befolyásolhatják (késleltethetik, szelektálhatják) a frissítések telepítését, azok kiadás után automatikusan felkerülnek a rendszerre. Az óvatosabb / haladóbb részére tehát csak a Professinal változat fog kínálni továbbra is választási lehetőséget, ami a Current Branch for Business (CBB) ágon kapja majd a frissítéseket – bár érdemes megjegyezni, hogy ebben az esetben sem lehet a végtelenségig késleltetni egy-egy frissítést, az egy bizonyos (egyelőre nem ismert) időszak elteltével mindenképpen települni fog. Persze ennek oka érthető, a Microsoft célja nagyjából egy fejlettségi szinten tartani a telepített tábort, ez viszont azt jelenti, hogy aki továbbra is szeretné befolyásolni, mikor milyen frissítés kerüljön a gépére, a Home-ban nem érdemes gondolkodnia. A Windows 10 Enterprise természetesen semmiben nem lesz korlátozva, az üzemeltetők teljesen szabad kezet kapnak a frissítések telepítésében.

A Microsoft mellett egyébként az Adobe is számos biztonsági frissítést adott ki tegnapi, ezek listáját is érdemes átnézni, mert itt is találhatók kritikus besorolásúak.