Hat biztonsági csomagot adott ki tegnap a Microsoft, közülük három kritikus besorolású hibát javít. A csomagokról a Biztonságportál készített összefoglalót, de gy kattintásnyira, a Microsoft oldalán is olvashat további részleteket.

A mostani javítások elsősorban a Windowsról szóltak: néhány újonnan feltárt sérülékenységének megszüntetésére kell a legnagyobb figyelmet szentelni. A FireEye jelentése is hangsúlyozza, hogy ezeket a frissítéseket célszerű mihamarabb telepíteni, mivel a kiberbűnözők már aktívan próbálják kihasználni ezeket a hibákat.

Ezeket kell mielőbb javítani

A legkritikusabb sérülékenységeket az MS14-058-as számú csomag javítja. Két olyan rést, melyek kernel módú drivereket érintenek: a Win32k.sys-t és a TrueType betűtípusok kezelését. Mindkét hiba tetszőleges kódokat futtatását, illetve rendszergazdai jogosultságú fiókok létrehozását teszi lehetővé. A két sebezhetőség az összes jelenleg támogatott Windowst érinti, a kliens és a szerver operációs rendszereket is.

A Windows további három, fontos besorolású javítást is kapott. Az egyik az OLE objektumok esetenkénti nem megfelelő kezelésére vezethető vissza. Ez speciálisan összeállított Office dokumentumok révén válhat kihasználhatóvá, és jogosulatlan távoli kódfuttatásra adhat módot. A Message Queuing szolgáltatásban talált rés azzal okozhat problémákat, hogy a támadók számára jogosultsági szint emelését teszi lehetővé. A harmadik biztonsági rés pedig a Windows FASTFAT rendszermeghajtójában található, és a FAT32-alapú lemezpartíciók esetenkénti hibás kezeléséből fakad. A rendellenesség magasabb jogosultsági szintnél szintén lehetővé tehet kódfuttatás.

A .NET keretrendszer is kapott kritikus hibákra javítást. Ezek a .NET Frameworkben többek között az iriParsing funkcionalitást, valamint a ClickOnce-t érintik. Mindkét hiba a jogosultsági szint emelésre ad lehetőséget. A harmadik kritikus sebezhetőség pedig az ASLR (Address Space Layout Randomization) védelmi vonal megkerülésére adhat módot.

A .NET-ben javítottak fontos besorolású, újonnan felfedezett rést is, ami az ASP.NET MVC-t érinti. Ezt speciálisan szerkesztett weboldalakkal, pontosabban speciálisan összeállított linkekkel lehet kihasználni, és a biztonsági megkötések megkerülését segítheti elő. A hibák .NET keretrendszer 2.0-t, valamint az ASP.NET MVC 2.0-t és az annál újabb kiadásokat érinti.

Nem súlyosak, de fontosak: ezeket is javítsa!

A fejlesztők összesen tizennégy sebezhetőséget javítottak. Többségük memóriakezelési rendellenességekre vezethetők vissza, és speciálisan szerkesztett weboldalak megtekintésekor segítheti a károkozást. A Microsoft közleménye szerint a hibák jogosulatlan kódfuttatásra, jogosultsági szint emelésére, valamint az ASLR védelem megkerülésére adhatnak módot. A hibajavításokat az összes jelenleg támogatott Internet Explorer verzióra telepíteni kell.

Az Office is kapott egy fontos besorolású javítást. A hiba a Wordön keresztül, speciálisan szerkesztett dokumentumokkal használható ki. Ha a támadók által összeállított fájlt a felhasználó egy sérülékeny szoftverrel nyitja meg, akkor az elkövetők a megtámadott felhasználói fiók jogosultsági szintjén engedélyezett műveleteket hajthatnak végre. Így akár kártékony kódokat is futtathatnak. A sérülékenység az Office 2007/2010, az Office for Mac 2011, a SharePoint Server 2010, valamint az Office Web Apps 2010 esetében vár javításra.

A sebezhetőségekkel kapcsolatban további információk kaphat az Isidor Biztonsági Központ oldalán.