0-day sérülékenységet is javít a májusi patch-kedd
Az aktívan kihasznált hiba mellett a Flash-ről is újabb 0-day derült ki, melynek javítása holnap várható.
A szokásosnál több izgalom jutott a májusi patch-keddre, miután két, aktívan kihasznált 0-day sérülékenységre is fény derült: egyre a Windowsban, egyre pedig a Flash Playerben. A Microsoft az előbbit – melyet a Symantec szerint támadók egy ideje már aktívan kihasználnak – a tegnap kiadott szokásos havi biztonsági frissítésekkel javította, utóbbira viszont az Adobe csak holnapra ígért megoldást.
A Microsoft biztonsági bulletinjei közül tehát a két legfontosabb az MS16-051 és az MS16-053, melyek a JScript és VBScript motorokat érintő CVE-2016-0189-es sérülékenységet javítják. Előbbi az Internet Explorer 9, 10 és 11-es verzióit foltozza be, utóbbi pedig az Internet Explorer 7 és a böngésző korábbi verzióiban javítja ki a hibát.
A Symantec vizsgálata szerint a sérülékenységet eddig csak dél-koreai, célzott támadásokban használták ki. A biztonsági szakemberek egyelőre nem ismerik az így terjesztett malware működését, csak terjedési mechanizmusát térképezték fel. Ez a szokásosnak tűnik: a támadók rosszindulatú JavaScripttel egy álcázott (obfuszkált) VBScript állományt juttattak az áldozatok gépére.
A fenti kettőn felül a Microsoft még további hat kritikus besorolású (MS16-051, -054, -055, -056, -057, -064) bulletint adott ki, ezek az Edge böngészőben, az Office-ban, az Office Servicesben, a Web Appsben és a Windows különböző verzióiban javítanak távoli kódfuttatásra kihasználható sérülékenységeket.
USA Tech Hub: ahonnan a passzátszél fúj Minden, ami a technológiai szektorban történik, jellemzően az USA-ból indul.
Az MS15-064-es csomag azért érdekes, mert az Internet Explorerben és az Edge-ben integrált Adobe Flash Playerhez kiadott biztonsági javításokat tartalmaz. A vonatkozó Adobe Security Bulletin szám az APSA16-02, ez azonban még csak a 0-dayt, a CVE-2017-4117-et listázza. A Microsoft viszont közel kéttucat másik hibát sorol fel az MS15-064-ben, és innen pont a 117-es végződésű hiányzik.
Hogy mi az eltérés oka, arra egyelőre nincs egyértelmű válasz, mindenesetre furcsa, hogy az Adobe bejegyzésében ezek nincsenek feltüntetve. A CVE adatbázisban ezek mindegyike reserved státuszú sérülékenység – mivel a Microsoft a Flash javításokat saját hatáskörben és csatornáin terjeszti, valószínű, hogy a patch-keddre való tekintettel ezeket már megkapta validálásra a cég, a 0-day javítását viszont az Adobe nem tudta az utolsó pillanatban megoldani, így az egy holnapi rendkívüli frissítéssel kerül ki a felhasználókhoz. Az is várható, hogy az Adobe vonatkozó biztonsági bulletin bejegyzése is bővülni fog a Microsoftnál már felsorolt további sérülékenységekkel. Az Adobe 0-day a Flash lejátszó 21.0.0.226-os és korábbi verzióit érinti.
A biztonsági javításokkal egy időben menetrendszerűen érkezett a legújabb Windows 10 kumulatív frissítés is (KB3156421). Az operációs rendszer buildjét 10586.318-ra emelő csomag a fentebb említett biztonsági foltok mellett néhány funkcionális javítást is tartalmaz, a részletes lista itt olvasható.