Szerző: Gálffy Csaba

2018. február 14. 13:12:00

Masszív a februári patch-kedd

Szokásos menetrend szerint érkezett a februári javítócsomag a különböző Microsoft szoftverekhez.

Több, mint 50 különböző sebezhetőséget javít a Microsoft frissen kiadott februári javítócsomagja. Az érintett szoftverek között az összes támogatott Windows-kiadás, az Office, az Internet Explorer is megtalálható - ebben nincs különösebb eltérés a szokásostól. Lássuk a kiemelkedő hibákat!

JavaScript-motor

A hónap egyik sláger-sebezhetősége a Windows ChakraCore nevű JavaScript-motorjában található, ez hajtja az Internet Explorer és az Edge böngészők mellett például az Outlookot is. Ez távoli kódfuttatásra ad lehetőséget a támadónak, ha valahogyan rá tudja venni a felhasználót, hogy megnézzen egy megfelelően preparált weboldalt (vagy Outlookban egy emailt).

Mi történik egy mobilappal a születése után? Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel.

Az Outlook emellett egy másik, jogosultságemelésre használható hibára is kapott javítást. Ez sokkal izgalmasabb (legalábbis működését tekintve), ugyanis míg a JS-hibához meg kell jeleníteni az üzenetet legalább előnézet formájában, a jogosultságemeléses támadáshoz elegendő elküldeni a levelet. A támadó ugyanis rá tudja venni az Outlookot, hogy pusztán az üzenet beérkezésekor SMB-n keresztül betöltse az üzenettárolót (message store), ezzel elérve a célját.

Flash a para

A javítócsomag immár hagyományosan tartalmazza az Adobe Flash-hez érkező biztonsági frissítéseket is - ez egy ideje a Windows platform része, a Microsoft pedig saját hatáskörben (de nyilván az Adobe-bal közösen) adja ki hozzá a javításokat. A friss körbe bekerült egy komoly Flash-sebezhetőség javítása is, ez attól különleges, hogy az összes hibától eltérően aktív támadás alatt áll, így mindenképp érdemes sürgősen telepíteni.

Nem csak biztonság

Ahogy az új Microsoft-paradigmában szokás, az egységes javítócsomag a biztonsági javítások mellett rengeteg ponton nyúl hozzá a Windows 10 rendszerhez és javít egyéb, nem biztonsági jellegű hibákat is. Olyan apróságokról van szó, mint a gyerek-fiókok InPrivate böngészése, vagy egyes hardveres konfigurációknál a DirectX játékok nem szándékos FPS-limitje, vagy épp az Alt-Shift billentyűzetnyelv-váltás késleltetése. Hosszabb lista a Windows Centralon.

A sebezhetőségek részletesebb elemzése a ZDI oldalán is olvasható.

a címlapról

Hirdetés

Mi történik egy mobilappal a születése után?

2020. február 28. 10:55

Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel. A store-ban való megjelenés az igazi munka kezdete: mérés, mérés, mérés, adat, felhasználói visszajelzések kezelése, ASO, monetizálás, marketing... és így tovább.