Mellékleteink: HUP | Gamekapocs
Keres
>> Hibrid felhőtől a konténereken át, egészen a kvantumprogramozásig - 6 klassz téma a HWSW május 21-i nagy Microsoft Azure meetupján. <<

Két zero-day-t is javított a Microsoft a februári patch kedden

Hlács Ferenc, 2019. február 14. 09:10

A vállalat a frissítésben összesen mintegy 77 sérülékenységet orvosolt.

Két zero-day sebezhetőséget is foltozott a februári patch kedden kiadott frissítéscsomagjában a Microsoft, a vállalat az egyik hibát az Internet Explorerben, a másikat az Exchange-ben csípte el. A csomag összesen 77 biztonsági rést foltozott be.

A vállalat immár másodlagos böngészőjévé lefokozott Internet Explorer 10 és 11-ben talált sérülékenységet a böngésző hibás memóriakezelése okozta, a biztonsági rést kihasználva pedig a potenciális támadóknak lehetőségük nyílt megvizsgálni, hogy adott fájlok jelen vannak-e a megcélzott számítógépen. A hiba kiaknázásához a felhasználót egy megfelelően preparált, rosszindulatú weboldal meglátogatására kellett rávenni a böngészőből. A frissítés azért is kiemelten fontos, mert a Microsoft szerint egy már aktívan kihasznált sebezhetőségről van szó. A hibát egyébként a Google Project Zero csapata fedezte fel.

mshqq2

Az Exchange-ben felfedezett biztonsági hiba jogosultságemelést tett lehetővé, amellyel a támadóknak egy sor műveletre lehetőségük nyílt az adott Exchange szerveren, akár más felhasználók email fiókjaihoz is hozzáférhettek. A sebezhetőséget egy közbeékelődéses támadással volt lehetőség kiaknázni, az EWS-t (Exchange Web Server) használó, illetve bekapcsolt push értesítésekkel rendelkező környezetekben. A redmondi óriás a sérülékenység esetében nem talált egyértelmű jelet, hogy azt rosszindulatú felek aktívan kihasználták volna, ugyanakkor a cég szerint jó eséllyel volt rá példa az érintett verziókon, azaz az Exchange 2013-as és újabb kiadásain

Ezek mellett a vállalat az SMB protokolban is befoldozott két, távoli kódfuttatást lehetővé tevő hibát, továbbá a Windows Server kiadások DHCP komponensére is jutott egy a hasonló, illetéktelen kódvégrehajtást gátló javítás. Kisebb tatarozásokat továbbá a cég egyebek mellett az Edge böngészőn, a Microsoft Office Services-en, a .NET keretrendszeren, a Visual Studión, az Azure IoT SDK-n és a Team Foundation Serveren is végzett. A Microsoft szokásához híven a patch keddi javítócsomag az Adobe Flash Player biztonsági javításait is tartalmazta, a javítások részletei kapcsán érdemes felkeresni a Microsoft kapcsolódó oldalát.

6 klassz téma, 6 jó előadó a HWSW május 21-i nagy Microsoft Azure meetupján.