Szerző: Gálffy Csaba

2017. április 13. 16:00

Több rendkívüli hibát is javított a Microsoft

Mindent félretéve érdemes rohanni frissíteni a gépeket, április a szokásosnál is sokkal fontosabb javításokat hozott a Microsoft termékeket használó szervezetek számára.

Már az új felületen tette közzé a Microsoft az április patch kedden javított hibalistát. A Security TechCenter bejegyzése szerint a javított szoftverek között (szokásostól nem eltérően) a cég két böngészője (Edge és Internet Explorer), a Windows-kiadások, az Office csomag is kap javítást, és persze a .NET keretrendszer, a Silverlight és a Flash Player is foltozást kap. Ritka vendég viszont a Visual Studio, amelynek most a macOS-re fejlesztett kiadásában javított sebezhetőséget a cég - összesen 236 különböző egységet listáz az új oldal (igaz, ezek jelentős része duplikátum a 32 és 64 bites kiadások külön számolása miatt).

A normális ügymenettől eltérően az áprilisi csomag igazi szirénázva közlekedő, azonnal telepítendő típus, a Microsoft ugyanis három nagyon veszélyes, már élesben is kihasznált, aktív támadás alatt lévő hibát is javított - lássuk ezeket.

Az első komoly sebezhetőség a napokban hírhedté vált Word-hiba, amelyet már élesben is támadtak változatos szereplők - pénzéhes bűnözők és (vélhetőleg) állami háttérrel rendelkező figurák is. A biztonsági hiba megfelelően preparált Microsoft Office RTF fájlokkal használható ki, amelyeken keresztül a támadóknak egy Visual Basic script végrehajtására nyílik lehetőségük. Utóbbi a biztonsági szakértők szerint mikor akcióba lép, ismert malware-családokból származó kártevőket tölt le az áldozat számítógépére.

Emellett azonban még két másik zero-day hibát is javított most a Microsoft. Az egyik az Internet Explorer sebezhetősége, amely jogosultságemelést tesz lehetővé azzal, hogy a böngésző nem figyel szigorúan a házirendek betartatására, így egy támadó egyik doménből a másikba tud injektálni adatot, ezzel módosítva a célpontnál élvezett jogkört. A támadás távolról is elvégezhető, csupán arra kell rávenni az áldozatot, hogy egy megfelelően preparált weboldalt látogasson meg Explorerrel.

Miért nem beszélni AI tökéletesen magyart?

Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

Miért nem beszélni AI tökéletesen magyart? Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

A harmadik hibát a Microsoft valójában nem javítja, hanem egyenesen inaktiválja a kérdéses szoftverelemet. A probléma az egyik képszűrőben van, az .eps (encapuslated PostScript) formátumú képeket feldolgozó egység hibája használható támadásra, megfelelően preparált képpel. Válaszként a frissítés egyszerűen kikapcsolja a .eps képek támogatását, ezzel ez a sebezhetőség is a múlté. A szervezetek saját felelősségre ezt vissza tudják kapcsolni, a lépést azonban a Microsoft nem erősen ellenzi.

A patch keddel egyszerre kiadott Windows 10 Creators Update is megkapta az első javítócsomagot - ez az új módszernek megfelelően egyetlen telepíthető pakkot jelent. A javított biztonsági hibák között található a Scripting Engine, a libjpeg könyvtár, a Hyper-V és számos más komponens.

Nagyon széles az a skála, amin a állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról

fab

5

Chipgyártó nagyhatalommá válna India

2024. március 18. 12:39

A helyi politikai vezetés szerint van rá esély, hogy a következő néhány évben az ország bekerüljön az öt vezető ország közé.

GEMINI

3

Licencelné az Apple a Google generatív MI modelljét

2024. március 18. 10:34

A Google Gemini hozná el a generatív képességeket az iPhone-okra, legalábbis már zajlanak az erről szóló tárgyalások. A részleteket egyelőre még nem véglegesítették a felek.