Több rendkívüli hibát is javított a Microsoft
Mindent félretéve érdemes rohanni frissíteni a gépeket, április a szokásosnál is sokkal fontosabb javításokat hozott a Microsoft termékeket használó szervezetek számára.
Már az új felületen tette közzé a Microsoft az április patch kedden javított hibalistát. A Security TechCenter bejegyzése szerint a javított szoftverek között (szokásostól nem eltérően) a cég két böngészője (Edge és Internet Explorer), a Windows-kiadások, az Office csomag is kap javítást, és persze a .NET keretrendszer, a Silverlight és a Flash Player is foltozást kap. Ritka vendég viszont a Visual Studio, amelynek most a macOS-re fejlesztett kiadásában javított sebezhetőséget a cég - összesen 236 különböző egységet listáz az új oldal (igaz, ezek jelentős része duplikátum a 32 és 64 bites kiadások külön számolása miatt).
A normális ügymenettől eltérően az áprilisi csomag igazi szirénázva közlekedő, azonnal telepítendő típus, a Microsoft ugyanis három nagyon veszélyes, már élesben is kihasznált, aktív támadás alatt lévő hibát is javított - lássuk ezeket.
Az első komoly sebezhetőség a napokban hírhedté vált Word-hiba, amelyet már élesben is támadtak változatos szereplők - pénzéhes bűnözők és (vélhetőleg) állami háttérrel rendelkező figurák is. A biztonsági hiba megfelelően preparált Microsoft Office RTF fájlokkal használható ki, amelyeken keresztül a támadóknak egy Visual Basic script végrehajtására nyílik lehetőségük. Utóbbi a biztonsági szakértők szerint mikor akcióba lép, ismert malware-családokból származó kártevőket tölt le az áldozat számítógépére.
Emellett azonban még két másik zero-day hibát is javított most a Microsoft. Az egyik az Internet Explorer sebezhetősége, amely jogosultságemelést tesz lehetővé azzal, hogy a böngésző nem figyel szigorúan a házirendek betartatására, így egy támadó egyik doménből a másikba tud injektálni adatot, ezzel módosítva a célpontnál élvezett jogkört. A támadás távolról is elvégezhető, csupán arra kell rávenni az áldozatot, hogy egy megfelelően preparált weboldalt látogasson meg Explorerrel.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A harmadik hibát a Microsoft valójában nem javítja, hanem egyenesen inaktiválja a kérdéses szoftverelemet. A probléma az egyik képszűrőben van, az .eps (encapuslated PostScript) formátumú képeket feldolgozó egység hibája használható támadásra, megfelelően preparált képpel. Válaszként a frissítés egyszerűen kikapcsolja a .eps képek támogatását, ezzel ez a sebezhetőség is a múlté. A szervezetek saját felelősségre ezt vissza tudják kapcsolni, a lépést azonban a Microsoft nem erősen ellenzi.
A patch keddel egyszerre kiadott Windows 10 Creators Update is megkapta az első javítócsomagot - ez az új módszernek megfelelően egyetlen telepíthető pakkot jelent. A javított biztonsági hibák között található a Scripting Engine, a libjpeg könyvtár, a Hyper-V és számos más komponens.