Egészen elképesztő, hogy milyen mennyiségben kell nagyon fontos hiányosságokat kiküszöbölnie a fejlesztőnek. Mondjuk a Google/Android se büszkélkedhet.

A Microsoft legutolsó patch-ei összesen 48 sérülékenységet távolítanak el a redmondi rendszerekből. Az összesen hat terméket érintő frissítés azonban jócskán lemaradt az Adobe-hoz képest, mely 67 hibát, köztük 43 kritikus minősítésűt iktat ki. És mindkettejükre rávert a Google: az Android 99 sebezhető ponttól szabadul(hat) meg.

Már most tudjuk, hogy nem teljes a csomag

A Microsoft legfontosabb hibáinak egyike a Windows Search-öt érinti, távolról való kód futtatását lehetővé téve a sebezhető rendszereken. Ennek gyökere ugyanarra az SMBv1 lyukra vezethető vissza, mely májusban a WannaCry számára is szélesre tárta az ajtót. De nem csak a Windows Search kapott kritikus (azaz azonnal telepítendő) hibajavítást, hanem például az Internet Explorer és az Edge, de érintett a SharePoint és a Microsoft SQL Server is.

Maradt azonban egy olyan neuralgikus pont, aminek javításával még adós Redmond. Amint azt az IT-biztonsággal foglalkozó Rapid7 egyik kutatója megjegyezte, még mindig várunk az SMBLoris sérülékenység fixálására, mellyel kapcsolatban a szoftverfejlesztő gigász egyelőre nem nyilatkozott. Nem kizárt, hogy a szeptemberben esedékes következő patch-ciklusban ez lesz majd a „témavezető”.

Adobe és Android, a két jó barát

Szinte hihetetlen, de felül lehetett múlni a Microsoft teljesítményét: az Adobe összesen 43 kritikus és 24 fontos hibára adott ki gyógyírt. Ezek közül kettő elismerten a nemrég nyugdíjazott Flash-t érinti, de a többség az Adobe Acrobat és Acrobat Reader termékekre koncentrál. A hibák többsége egyébként memória helytelen kezeléséből adódik, és lehetővé teszi távoli támadók számára, hogy tetszés szerinti kódot futtassanak a célba vett rendszeren. Ehhez azonban először meg kell győzniük a monitor előtt ülőt, hogy megnyisson egy ártó szándékkal létrehozott állományt.

Ezzel párhuzamosan még durvább számokról tudott hírt adni a Google. Okostelefonos platformjában összesen 99 biztonsági rést szüntetett meg. Igaz, ezeket az update-eket be is kell szerezni, ami egy kicsit körülményesebb, mint amihez az asztali számítógépekhez szoktunk. Egyrészt függ a szolgáltatótól, másrészt a gyártótól, hogy mikor válnak elérhetővé az update-ek. Érdemes a rendszerszoftver-frissítési pontot ellenőrizgetni a telefon beállítások menüjében, és amint megjelennek a patch-ek, a lehető leghamarabb alkalmazásba is venni őket.

Ugyan a Google-nek nincsen tudomása arról, hogy folyamatban lenne olyan támadás, ami ezen sérülékenységek valamelyikét kihasználja, a sietség nem árt. A biztonsági hiányosságok több mint negyede az Android média keretrendszerét érinti, magába foglalva tíz, távolról való kód futtatásának lehetőségét (ezek kritikus minősítést kaptak). Hat további pedig szolgáltatásmegtagadásra irányuló támadások előtt nyithat utat.

Érintettek emellett a Qualcomm komponensek, egy Broadcom vezetékmentes hálózati csatlakozást biztosító meghajtóprogram és kilenc Google hardver driver. Ezen kívül maga az Android kernel is tartalmaz öt olyan sérülékenységet, mely egy támadó számára lehetővé teszi a mobil készülékek távolról való, engedély nélküli vezérelhetőségét.

Biztonság

Bill Gates lecserélte Windows Phone-ját. Na de mire?

IPhone vagy Android telefonra szavazott a Microsoft alapítója? Az egyiktől továbbra is nagyon fázik a cégvezér.
 
A világ biztosítási piaca közel 5 ezer milliárd dollár. Ennek egy részét hamarosan elvehetik az insurtech cégek. De ez mindkét félnek kemény küzdelem lesz.

a melléklet támogatója a Balasys

Hirdetés

Most készüljön fel a fintech világ biztonsági kockázataira!

A pár éve kitört fintech-láz, valamint a jövő év elején életbe lépő PSD2 nem csak a pénzügyi piacok üzleti modelljét borítja meg. A biztonsági kérdéseket is sürgősen újra kell gondolniuk a piac szereplőinek.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.