0-day sérülékenységet is javít a májusi patch-kedd

A szokásosnál több izgalom jutott a májusi patch-keddre, miután két, aktívan kihasznált 0-day sérülékenységre is fény derült: egyre a Windowsban, egyre pedig a Flash Playerben. A Microsoft az előbbit – melyet a Symantec szerint támadók egy ideje már aktívan kihasználnak – a tegnap kiadott szokásos havi biztonsági frissítésekkel javította, utóbbira viszont az Adobe csak holnapra ígért megoldást.

A Microsoft biztonsági bulletinjei közül tehát a két legfontosabb az MS16-051 és az MS16-053, melyek a JScript és VBScript motorokat érintő CVE-2016-0189-es sérülékenységet javítják. Előbbi az Internet Explorer 9, 10 és 11-es verzióit foltozza be, utóbbi pedig az Internet Explorer 7 és a böngésző korábbi verzióiban javítja ki a hibát.

A Symantec vizsgálata szerint a sérülékenységet eddig csak dél-koreai, célzott támadásokban használták ki. A biztonsági szakemberek egyelőre nem ismerik az így terjesztett malware működését, csak terjedési mechanizmusát térképezték fel. Ez a szokásosnak tűnik: a támadók rosszindulatú JavaScripttel egy álcázott (obfuszkált) VBScript állományt juttattak az áldozatok gépére.

A fenti kettőn felül a Microsoft még további hat kritikus besorolású (MS16-051, -054, -055, -056, -057, -064) bulletint adott ki, ezek az Edge böngészőben, az Office-ban, az Office Servicesben, a Web Appsben és a Windows különböző verzióiban javítanak távoli kódfuttatásra kihasználható sérülékenységeket.

Rust? Kubernetes? FinOps? Melyiket válasszam? Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.

Az MS15-064-es csomag azért érdekes, mert az Internet Explorerben és az Edge-ben integrált Adobe Flash Playerhez kiadott biztonsági javításokat tartalmaz. A vonatkozó Adobe Security Bulletin szám az APSA16-02, ez azonban még csak a 0-dayt, a CVE-2017-4117-et listázza. A Microsoft viszont közel kéttucat másik hibát sorol fel az MS15-064-ben, és innen pont a 117-es végződésű hiányzik.

Hogy mi az eltérés oka, arra egyelőre nincs egyértelmű válasz, mindenesetre furcsa, hogy az Adobe bejegyzésében ezek nincsenek feltüntetve. A CVE adatbázisban ezek mindegyike reserved státuszú sérülékenység – mivel a Microsoft a Flash javításokat saját hatáskörben és csatornáin terjeszti, valószínű, hogy a patch-keddre való tekintettel ezeket már megkapta validálásra a cég, a 0-day javítását viszont az Adobe nem tudta az utolsó pillanatban megoldani, így az egy holnapi rendkívüli frissítéssel kerül ki a felhasználókhoz. Az is várható, hogy az Adobe vonatkozó biztonsági bulletin bejegyzése is bővülni fog a Microsoftnál már felsorolt további sérülékenységekkel. Az Adobe 0-day a Flash lejátszó 21.0.0.226-os és korábbi verzióit érinti.

A biztonsági javításokkal egy időben menetrendszerűen érkezett a legújabb Windows 10 kumulatív frissítés is (KB3156421). Az operációs rendszer buildjét 10586.318-ra emelő csomag a fentebb említett biztonsági foltok mellett néhány funkcionális javítást is tartalmaz, a részletes lista itt olvasható.