Tegnap a Microsoft a szokásos havi javításai keretében tíz biztonsági frissítést adott ki. Közül kettő kapott kritikus veszélyességi besorolást kapott. A hibajavításokkal egyebek mellett jogosulatlan távoli kódfuttatást és művelet-végrehajtást lehet megelőzni. Összesen 33 biztonsági hibá küszöböltek ki. A javítások középpontjában a Windows és az Internet Explorer áll, de a Publisherre, a Wordre és a Visio-ra, a Communicatorra, a Lyncre és a Lync Serverre is jutott javítás.



Veszélyeztetett IE, veszélyeztetett Windows ■ Az Internet Explorer mindegyik most javított hibáját kritikusnak minősítették. Az egyik a böngésző összes jelenleg támogatott kiadását érinti az IE 6-tól a 10-es verzióig. Egyik egy memóriakezelési rendellenességet javít, a másik pedig a JSON fájlok esetében felmerült sérülékenységet. Emellett van egy memóriakezelési probléma, ami csak az IE8-ban és 9-ben okozhat gondot. Ezeknek a hibáknak mindegyike elsősorban speciálisan szerkesztett weboldalak letöltésekor teszi lehetővé esetleges támadóknak tetszőleges kódok jogosulatlan futtatását.

A Windows is számos fontos besorolású hibajavítással gazdagodott. Ezek közül az egyik kizárólag a legújabb verziókat érinti: a Windows 8-at és a Windows Server 2012-t. A feltárt biztonsági rés a HTTP fejlécek esetenkénti nem megfelelő feldolgozására vezethető vissza, amit a támadók szolgáltatásmegtagadási ( Denial of Service – DoS) támadásokra használhatnak fel. Emellett a Windows egyes kernelmódú driverek (Win32k.sys), illetve az egyik DirectX alrendszer kapcsán is biztonságosabbá vált. Ez utóbbi hibák azonban már az összes jelenleg támogatással rendelkező kiadást érintik.

Van egy biztonsági rés, ami kizárólag a Windows Essentials 2011-et és 2012-t érinti, és amely a Windows Writer használatakor okozhat kellemetlen meglepetések. A hiba többek között proxy beállítások manipulálására adhat lehetőséget.

Javított Office ■ Csak az Office csomag részeként használt Publisherben tizenegy olyan hibát javítottak, melyek főként memóriakezelési rendellenességeket, puffertúlcsordulási hibákat okozhattak. A javítás az Office 2003-as, 2007-es és 2010-es verzióiban helyet kapó verziókat érinti. Ugyanezekben az Office-okban a Visio alkalmazás is kaőpott egy foltot, amely speciálisan összeállított XML-fájlok révén kihasználható rést javított. Van egy olyan javítás is, amelyet kizárólag a Word 2003 felhasználóinak kell telepíteniük: ez egy jogosulatlan kódfuttatást lehetővé tevő, speciálisan szerkesztett Word dokumentumok révén kihasználható hibát orvosol.

Tovább javítások ■ A .NET-ben javítottak egy XML-kezelési hibát, amely esetenként a digitális aláírások nem megfelelő ellenőrzése miatt okozhatott gondot. A WCF authentikáció egy problémáját is kiküszöbölték, amely nem megfelelően összeállított policy-k miatt kliensoldali komponensekhez biztosíthat jogosulatlan hozzáférést. A hibajavításokat a legtöbb .NET Framework verzió esetében minél előbb célszerű feltelepíteni.


A Microsoft a vállalati üzemeltetők számára még egy feladatot adott. A Communicator 2007 R2-ben, a Lync 2010-ben és a Lync Server 2013-ban olyan sérülékenységet szüntettek meg, amely jogosulatlan kódfuttatást és művelet-végrehajtást tehet lehetővé az áldozatul esett felhasználó jogosultsági szintjének megfelelően. A hibát a támadók speciálisan szerkesztett dokumentumokkal, programokkal vagy prezentációkkal használhatják ki. Mindössze arra van szükségük, hogy valamilyen úton-módon rávegyék a célkeresztbe állított felhasználót arra, hogy nyissa meg a megosztott fájlokat.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban az Isidor Biztonsági Központnál találnak bővebb információkat.