Szerző: Gálffy Csaba

2018. február 14. 13:12

Masszív a februári patch-kedd

Szokásos menetrend szerint érkezett a februári javítócsomag a különböző Microsoft szoftverekhez.

Több, mint 50 különböző sebezhetőséget javít a Microsoft frissen kiadott februári javítócsomagja. Az érintett szoftverek között az összes támogatott Windows-kiadás, az Office, az Internet Explorer is megtalálható - ebben nincs különösebb eltérés a szokásostól. Lássuk a kiemelkedő hibákat!

JavaScript-motor

A hónap egyik sláger-sebezhetősége a Windows ChakraCore nevű JavaScript-motorjában található, ez hajtja az Internet Explorer és az Edge böngészők mellett például az Outlookot is. Ez távoli kódfuttatásra ad lehetőséget a támadónak, ha valahogyan rá tudja venni a felhasználót, hogy megnézzen egy megfelelően preparált weboldalt (vagy Outlookban egy emailt).

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x)

Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x) Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Az Outlook emellett egy másik, jogosultságemelésre használható hibára is kapott javítást. Ez sokkal izgalmasabb (legalábbis működését tekintve), ugyanis míg a JS-hibához meg kell jeleníteni az üzenetet legalább előnézet formájában, a jogosultságemeléses támadáshoz elegendő elküldeni a levelet. A támadó ugyanis rá tudja venni az Outlookot, hogy pusztán az üzenet beérkezésekor SMB-n keresztül betöltse az üzenettárolót (message store), ezzel elérve a célját.

Flash a para

A javítócsomag immár hagyományosan tartalmazza az Adobe Flash-hez érkező biztonsági frissítéseket is - ez egy ideje a Windows platform része, a Microsoft pedig saját hatáskörben (de nyilván az Adobe-bal közösen) adja ki hozzá a javításokat. A friss körbe bekerült egy komoly Flash-sebezhetőség javítása is, ez attól különleges, hogy az összes hibától eltérően aktív támadás alatt áll, így mindenképp érdemes sürgősen telepíteni.

Nem csak biztonság

Ahogy az új Microsoft-paradigmában szokás, az egységes javítócsomag a biztonsági javítások mellett rengeteg ponton nyúl hozzá a Windows 10 rendszerhez és javít egyéb, nem biztonsági jellegű hibákat is. Olyan apróságokról van szó, mint a gyerek-fiókok InPrivate böngészése, vagy egyes hardveres konfigurációknál a DirectX játékok nem szándékos FPS-limitje, vagy épp az Alt-Shift billentyűzetnyelv-váltás késleltetése. Hosszabb lista a Windows Centralon.

A sebezhetőségek részletesebb elemzése a ZDI oldalán is olvasható.

2021. október 25-én 8 alkalmas, 24 órás online képzést indít a HWSW, mely a világ legnagyobb felhős platformjába nyújt alapos bevezetést, gyakorlatorientált keretek kötött.

a címlapról

feketelista

9

Tovább bombázzák a Honort

2021. október 15. 13:33

Republikánus képviselők szerint a gyártót egyértelműen feketelistára kell tenni.

Hirdetés

Ráléptünk a gázra!

2021. október 17. 23:49

Dübörög a HWSW free! meetupsorozat, októberben modern webfejlesztés és CI/CD témákkal jövünk, de indulnak új online képzéseink is, melyek az AWS, a Kubernetes security, és a microservice architektúra alapjaiba nyújtanak betekintést.