Egészen elképesztő, hogy milyen mennyiségben kell nagyon fontos hiányosságokat kiküszöbölnie a fejlesztőnek. Mondjuk a Google/Android se büszkélkedhet.

A Microsoft legutolsó patch-ei összesen 48 sérülékenységet távolítanak el a redmondi rendszerekből. Az összesen hat terméket érintő frissítés azonban jócskán lemaradt az Adobe-hoz képest, mely 67 hibát, köztük 43 kritikus minősítésűt iktat ki. És mindkettejükre rávert a Google: az Android 99 sebezhető ponttól szabadul(hat) meg.

Már most tudjuk, hogy nem teljes a csomag

A Microsoft legfontosabb hibáinak egyike a Windows Search-öt érinti, távolról való kód futtatását lehetővé téve a sebezhető rendszereken. Ennek gyökere ugyanarra az SMBv1 lyukra vezethető vissza, mely májusban a WannaCry számára is szélesre tárta az ajtót. De nem csak a Windows Search kapott kritikus (azaz azonnal telepítendő) hibajavítást, hanem például az Internet Explorer és az Edge, de érintett a SharePoint és a Microsoft SQL Server is.

Maradt azonban egy olyan neuralgikus pont, aminek javításával még adós Redmond. Amint azt az IT-biztonsággal foglalkozó Rapid7 egyik kutatója megjegyezte, még mindig várunk az SMBLoris sérülékenység fixálására, mellyel kapcsolatban a szoftverfejlesztő gigász egyelőre nem nyilatkozott. Nem kizárt, hogy a szeptemberben esedékes következő patch-ciklusban ez lesz majd a „témavezető”.

Adobe és Android, a két jó barát

Szinte hihetetlen, de felül lehetett múlni a Microsoft teljesítményét: az Adobe összesen 43 kritikus és 24 fontos hibára adott ki gyógyírt. Ezek közül kettő elismerten a nemrég nyugdíjazott Flash-t érinti, de a többség az Adobe Acrobat és Acrobat Reader termékekre koncentrál. A hibák többsége egyébként memória helytelen kezeléséből adódik, és lehetővé teszi távoli támadók számára, hogy tetszés szerinti kódot futtassanak a célba vett rendszeren. Ehhez azonban először meg kell győzniük a monitor előtt ülőt, hogy megnyisson egy ártó szándékkal létrehozott állományt.

Ezzel párhuzamosan még durvább számokról tudott hírt adni a Google. Okostelefonos platformjában összesen 99 biztonsági rést szüntetett meg. Igaz, ezeket az update-eket be is kell szerezni, ami egy kicsit körülményesebb, mint amihez az asztali számítógépekhez szoktunk. Egyrészt függ a szolgáltatótól, másrészt a gyártótól, hogy mikor válnak elérhetővé az update-ek. Érdemes a rendszerszoftver-frissítési pontot ellenőrizgetni a telefon beállítások menüjében, és amint megjelennek a patch-ek, a lehető leghamarabb alkalmazásba is venni őket.

Ugyan a Google-nek nincsen tudomása arról, hogy folyamatban lenne olyan támadás, ami ezen sérülékenységek valamelyikét kihasználja, a sietség nem árt. A biztonsági hiányosságok több mint negyede az Android média keretrendszerét érinti, magába foglalva tíz, távolról való kód futtatásának lehetőségét (ezek kritikus minősítést kaptak). Hat további pedig szolgáltatásmegtagadásra irányuló támadások előtt nyithat utat.

Érintettek emellett a Qualcomm komponensek, egy Broadcom vezetékmentes hálózati csatlakozást biztosító meghajtóprogram és kilenc Google hardver driver. Ezen kívül maga az Android kernel is tartalmaz öt olyan sérülékenységet, mely egy támadó számára lehetővé teszi a mobil készülékek távolról való, engedély nélküli vezérelhetőségét.

Biztonság

Megszabadul egy nyűgétől az Oracle. Átengedi egy alapítványnak a Java EE-t

Eddig sem akart vele túl sokat foglalkozni. A váltásnak mindenki örül.
 
Virtualizációval teszik még hatékonyabbá az informatikai környezetet a szoftveresen meghatározott adatközpontok. Alacsonyabb költségek, magasabb színvonalú IT – egyre többen fordulnak az SDDC technológia felé.

a melléklet támogatója az ArubaCloud

Hirdetés

Felhőszolgáltatást használ? Ezt hozza önnek a GDPR

Már csak kilenc hónap maradt a felkészülésre. A felhőszolgáltatók is ezen dolgoznak.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.