Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Kritikus sebezhetőségeket javított a patch-kedd

Hlács Ferenc, 2015. október 14. 12:32
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Több kritikus sebezhetőséget is javított a Microsoft és az Adobe, frissen kiadott frissítőcsomagjaiban - utóbbi vállalat ugyanakkor egy zero-day biztonsági rést figyelmen kívül hagyott. Az aktívan kihasznált sérülékenységet a Trend Micro fedezte fel, az Adobe-bal már dolgoznak a javításon.

hirdetés

A Microsoft októberi patch-keddje sem telt eseménytelenül, a vállalat javításai mintegy 33 biztonsági hibát foltozott be, köztük kritikus sebezhetőségekkel - érdemes tehát minél előbb időt szakítani a legújabb frissítések telepítésére. Ezzel egy időben az Adobe is kiadta havi frissítéscsokrát, amelynek telepítését szintén nem érdemes sokat halogatni: az csak az Acrobat Readerben 56, a Flash Playerben pedig 13 hibát javít - utóbbiban ugyanakkor egy frissen felfedezett kritikus sérülékenység továbbra is veszélyt jelent.

A Windowson a frissítéssel befoltozott biztonsági rések közül 14 az Internet Explorert érintette, amelyeket kihasználva lehetőség nyílt rosszindulatú weboldalak segítségével átvenni az uralmat az érintett PC-k fölött. A cég a BVScript és JScript biztonsági hibáit is javította, ezek az 7-től 11-ig terjedő IE verziókat érintették, segítségükkel a potenciális támadók a bejelentkezett felhasználónak megfelelő jogosultságokat kaphattak a rendszerben - a cég hasonló fenyegetést egyébként az Excelből, illetve a Sharepoint Serverből is kigyomlált. A Microsoft új böngészője, az Edge is kapott javításokat, azon a vállalat többek között egy egy XSS (cross-site-scripting) sérülékenységet orvosolt.

A távoli kódfuttatásra a fentieken túl egy immár befoltozott Windows Shell sebezhetőség is lehetőséget adott, amelynek kihasználására ugyancsak lehetőség volt a célra preparált online tartalmakon keresztül. A vállalat a Windows kernelben öt javítást eszközölt, és itt találta a legnagyobb veszélyt jelentő hibát is, amellyel támadók rendszergazdai jogosultságot is szerezhettek.

Az Adobe, bár maga is aránylag vaskos javítócsomagot adott ki, egy zero-day sebezhetőség felett úgy látszik elsiklott. A biztonsági résre a Trend Micro kutatói hívták fel a figyelmet, kiemelve, hogy azt a kormányzati célpontokat támadó Pawn Storm támadássorozat mögött álló csapat a közelmúltban aktívan kihasználta: az offenzíva során spear phishing emailekkel vették rá a kiszemelt áldozatokat, hogy a biztonsági hiba kihasználásához szükséges preparált weboldalakra vezető linkekre navigáljanak.

A támadók által kihasznált Adobe Flash Player sebezhetőség a biztonsági cég szerint a lejátszó 19.0.0.185-ös és 19.0.0.207-es verzióit biztosan érinti, de nem kizárt, hogy korábbi változatokban is jelen van. A Trend Micro biztonsági okokból egyelőre nem árult el technikai részleteket a hibáról, ugyanakkor értesítette az Adobe-ot, illetve egy a sérülékenység kihasználását demonstráló példakódot is biztosított számára. A vállalat már vizsgálja az ügyet.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.