Több rendkívüli hibát is javított a Microsoft
Mindent félretéve érdemes rohanni frissíteni a gépeket, április a szokásosnál is sokkal fontosabb javításokat hozott a Microsoft termékeket használó szervezetek számára.
Már az új felületen tette közzé a Microsoft az április patch kedden javított hibalistát. A Security TechCenter bejegyzése szerint a javított szoftverek között (szokásostól nem eltérően) a cég két böngészője (Edge és Internet Explorer), a Windows-kiadások, az Office csomag is kap javítást, és persze a .NET keretrendszer, a Silverlight és a Flash Player is foltozást kap. Ritka vendég viszont a Visual Studio, amelynek most a macOS-re fejlesztett kiadásában javított sebezhetőséget a cég - összesen 236 különböző egységet listáz az új oldal (igaz, ezek jelentős része duplikátum a 32 és 64 bites kiadások külön számolása miatt).
A normális ügymenettől eltérően az áprilisi csomag igazi szirénázva közlekedő, azonnal telepítendő típus, a Microsoft ugyanis három nagyon veszélyes, már élesben is kihasznált, aktív támadás alatt lévő hibát is javított - lássuk ezeket.
Az első komoly sebezhetőség a napokban hírhedté vált Word-hiba, amelyet már élesben is támadtak változatos szereplők - pénzéhes bűnözők és (vélhetőleg) állami háttérrel rendelkező figurák is. A biztonsági hiba megfelelően preparált Microsoft Office RTF fájlokkal használható ki, amelyeken keresztül a támadóknak egy Visual Basic script végrehajtására nyílik lehetőségük. Utóbbi a biztonsági szakértők szerint mikor akcióba lép, ismert malware-családokból származó kártevőket tölt le az áldozat számítógépére.
Emellett azonban még két másik zero-day hibát is javított most a Microsoft. Az egyik az Internet Explorer sebezhetősége, amely jogosultságemelést tesz lehetővé azzal, hogy a böngésző nem figyel szigorúan a házirendek betartatására, így egy támadó egyik doménből a másikba tud injektálni adatot, ezzel módosítva a célpontnál élvezett jogkört. A támadás távolról is elvégezhető, csupán arra kell rávenni az áldozatot, hogy egy megfelelően preparált weboldalt látogasson meg Explorerrel.
Miért nem beszélni AI tökéletesen magyart? Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?
A harmadik hibát a Microsoft valójában nem javítja, hanem egyenesen inaktiválja a kérdéses szoftverelemet. A probléma az egyik képszűrőben van, az .eps (encapuslated PostScript) formátumú képeket feldolgozó egység hibája használható támadásra, megfelelően preparált képpel. Válaszként a frissítés egyszerűen kikapcsolja a .eps képek támogatását, ezzel ez a sebezhetőség is a múlté. A szervezetek saját felelősségre ezt vissza tudják kapcsolni, a lépést azonban a Microsoft nem erősen ellenzi.
A patch keddel egyszerre kiadott Windows 10 Creators Update is megkapta az első javítócsomagot - ez az új módszernek megfelelően egyetlen telepíthető pakkot jelent. A javított biztonsági hibák között található a Scripting Engine, a libjpeg könyvtár, a Hyper-V és számos más komponens.