Mellékleteink: HUP | Gamekapocs
Keres
Junior projektvezetőt keres a HWSW: egyetemistákat várunk részmunkaidőre, rugalmas munkabeosztással.

Masszív a februári patch-kedd

Gálffy Csaba, 2018. február 14. 13:12

Szokásos menetrend szerint érkezett a februári javítócsomag a különböző Microsoft szoftverekhez.

Több, mint 50 különböző sebezhetőséget javít a Microsoft frissen kiadott februári javítócsomagja. Az érintett szoftverek között az összes támogatott Windows-kiadás, az Office, az Internet Explorer is megtalálható - ebben nincs különösebb eltérés a szokásostól. Lássuk a kiemelkedő hibákat!

JavaScript-motor

A hónap egyik sláger-sebezhetősége a Windows ChakraCore nevű JavaScript-motorjában található, ez hajtja az Internet Explorer és az Edge böngészők mellett például az Outlookot is. Ez távoli kódfuttatásra ad lehetőséget a támadónak, ha valahogyan rá tudja venni a felhasználót, hogy megnézzen egy megfelelően preparált weboldalt (vagy Outlookban egy emailt).

Az Outlook emellett egy másik, jogosultságemelésre használható hibára is kapott javítást. Ez sokkal izgalmasabb (legalábbis működését tekintve), ugyanis míg a JS-hibához meg kell jeleníteni az üzenetet legalább előnézet formájában, a jogosultságemeléses támadáshoz elegendő elküldeni a levelet. A támadó ugyanis rá tudja venni az Outlookot, hogy pusztán az üzenet beérkezésekor SMB-n keresztül betöltse az üzenettárolót (message store), ezzel elérve a célját.

Flash a para

A javítócsomag immár hagyományosan tartalmazza az Adobe Flash-hez érkező biztonsági frissítéseket is - ez egy ideje a Windows platform része, a Microsoft pedig saját hatáskörben (de nyilván az Adobe-bal közösen) adja ki hozzá a javításokat. A friss körbe bekerült egy komoly Flash-sebezhetőség javítása is, ez attól különleges, hogy az összes hibától eltérően aktív támadás alatt áll, így mindenképp érdemes sürgősen telepíteni.

Nem csak biztonság

Ahogy az új Microsoft-paradigmában szokás, az egységes javítócsomag a biztonsági javítások mellett rengeteg ponton nyúl hozzá a Windows 10 rendszerhez és javít egyéb, nem biztonsági jellegű hibákat is. Olyan apróságokról van szó, mint a gyerek-fiókok InPrivate böngészése, vagy egyes hardveres konfigurációknál a DirectX játékok nem szándékos FPS-limitje, vagy épp az Alt-Shift billentyűzetnyelv-váltás késleltetése. Hosszabb lista a Windows Centralon.

A sebezhetőségek részletesebb elemzése a ZDI oldalán is olvasható.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.