Szerző: Hlács Ferenc

2019. február 14. 09:10:00

Két zero-day-t is javított a Microsoft a februári patch kedden

A vállalat a frissítésben összesen mintegy 77 sérülékenységet orvosolt.

Két zero-day sebezhetőséget is foltozott a februári patch kedden kiadott frissítéscsomagjában a Microsoft, a vállalat az egyik hibát az Internet Explorerben, a másikat az Exchange-ben csípte el. A csomag összesen 77 biztonsági rést foltozott be.

A vállalat immár másodlagos böngészőjévé lefokozott Internet Explorer 10 és 11-ben talált sérülékenységet a böngésző hibás memóriakezelése okozta, a biztonsági rést kihasználva pedig a potenciális támadóknak lehetőségük nyílt megvizsgálni, hogy adott fájlok jelen vannak-e a megcélzott számítógépen. A hiba kiaknázásához a felhasználót egy megfelelően preparált, rosszindulatú weboldal meglátogatására kellett rávenni a böngészőből. A frissítés azért is kiemelten fontos, mert a Microsoft szerint egy már aktívan kihasznált sebezhetőségről van szó. A hibát egyébként a Google Project Zero csapata fedezte fel.

mshqq2

Az Exchange-ben felfedezett biztonsági hiba jogosultságemelést tett lehetővé, amellyel a támadóknak egy sor műveletre lehetőségük nyílt az adott Exchange szerveren, akár más felhasználók email fiókjaihoz is hozzáférhettek. A sebezhetőséget egy közbeékelődéses támadással volt lehetőség kiaknázni, az EWS-t (Exchange Web Server) használó, illetve bekapcsolt push értesítésekkel rendelkező környezetekben. A redmondi óriás a sérülékenység esetében nem talált egyértelmű jelet, hogy azt rosszindulatú felek aktívan kihasználták volna, ugyanakkor a cég szerint jó eséllyel volt rá példa az érintett verziókon, azaz az Exchange 2013-as és újabb kiadásain

Miért érdemes belevágnod a Scrum képzésünkbe? (x) Október 21-én Scrum alapozó képzést indít a HWSW, íme néhány jó érv a kurzus mellett.

Ezek mellett a vállalat az SMB protokolban is befoldozott két, távoli kódfuttatást lehetővé tevő hibát, továbbá a Windows Server kiadások DHCP komponensére is jutott egy a hasonló, illetéktelen kódvégrehajtást gátló javítás. Kisebb tatarozásokat továbbá a cég egyebek mellett az Edge böngészőn, a Microsoft Office Services-en, a .NET keretrendszeren, a Visual Studión, az Azure IoT SDK-n és a Team Foundation Serveren is végzett. A Microsoft szokásához híven a patch keddi javítócsomag az Adobe Flash Player biztonsági javításait is tartalmazta, a javítások részletei kapcsán érdemes felkeresni a Microsoft kapcsolódó oldalát.

a címlapról