Összesen 13 javító csomaggal jelentkezett tegnap a Microsoft. A Windows kapta a legtöbbet. A frissítést azonban most megkavarhatja a Windows 10.

Hat kritikus besorolású sérülékenységet is javított a Microsoft a tegnap kiadott hibajavító csomagjaival. A legtöbb javítást a Windows kapta. A hibajavító keddnek a sztenderdek (Internet Explorer, Edge, Office, .NET) mellett volt egy érdekessége is: dedikált csomagot kaptak az Adobe Flash Player kritikus veszélyességű hibái. Bár a Flash a hibái miatt egyre markánsabb ellenállást vált ki, nagyon lassan kopik ki a használatból. Tavaly ugyan több cég is bevezette, hogy korlátozza/blokkolja például a Flash Player használatát, de végső megoldás egyelőre nem született. (A Google júniusban korlátozta a Flash plugin futását a Chrome-ban, amit a Mozilla másfél hónap késéssel követett.)

Windows a fókuszban

A Windowsban javított legsúlyosabb sérülékenységek a PDF és a Journal állományok kezelésével, feldolgozásával kapcsolatosak. A PDF-probléma gyökere az, hogy a Windows PDF Library-je nem mindig kezeli megfelelően az API-hívásokat. Ez kihasználható akár tetszőleges kódok futtatásához is. A másik hibát speciálisan összeállított Journal állományokkal lehet kihasználni.

Mindkét biztonsági résre igaz, hogy a rendszer annál nagyobb veszélyben van, minél magasabb jogosultsági szinten használják.

A két kritikus javítás mellett fontos besorolású foltokat kapott az NPS RADIUS Server, az Active Directory Federation Services, a kernel módú driverek, a távoli asztali kapcsolatok (RDP) és a WebDAV-támogatás is. Ezek a javítások jellemzően olyan hibákat orvosolnak, melyek jogosulatlan művelet-végrehajtásra, szolgáltatásmegtagadás jellegű támadásra és jogosultsági szint emelésére adnak lehetőséget.

A frissítéseket a Windows összes támogatott kiadásra, így a 10-esre is telepíteni kell.

Ha még nem cserélte le az IE8-at, kezdje azzal

Az Internet Explorerben 13, míg az Edge-ben 6 rést foltoztak be. A legsürgősebb teendő azonban mégsem az, legalábbis azoknál, akik még az Internet Explorer 8. kiadását használják. A 2009. óta szolgálatot teljesítő böngésző múlt hónap második keddjén megkapta utolsó frissítését, és azzal a Microsoft végleg nyugdíjazta is, azaz most már nem is adott ki hozzá biztonsági frissítést. Ha tehát ilyen verziójú IE-t használ, első lépésben váltson támogatott változatra. És utána már jöhetnek a frissítések.

A két csomag javít kritikus hibát. A Internet Explorerben a 9-es kiadástól a 11-esig javítottak memóriakezelési hibát, domainkezelési problémát, OLE (Object Linking and Embedding) problémákat, valamint módosították a HTTP-kezelést is. A hibák a jogosulatlan távoli kódfuttatást és a rendszer fölötti irányítás átvételét is lehetővé tehetik annak függvényében, hogy a felhasználó milyen jogosultságokkal jelentkezett be a rendszerbe.

Az Edge szintén kritikus besorolású javítása a memóriakezelési és HTTP-kezelési rendellenességek mellett az ASLR-védelem megkerülését segítő rést is foltoz.

A biztonsági réseket elsősorban speciálisan összeállított weboldalakkal vagy webes tartalmakkal lehet kihasználni.

Office, SharePoint Server, .NET

Az Office szoftvercsomag szintén kapott kritikus besorolású hibákra javítást. A hibák többsége memória- és objektumkezelési problémákkal függ össze, és a bejelentkezett felhasználó jogosultsági szintjén ad lehetőséget távoli kódfuttatásra. A javítócsomagot az Office 2007-es, 2010-es, 2013-as és 2016-os kiadásaira is fel kell tenni. Bár a csomag az Office-okat javítja, a sérülékenységek egy része a SharePoint Server 2007-es, 2010-es és 2013-as kiadásit is javítja.

A .NET-ben két, fontos besorolású rést foltoztak be. Az egyik szolgáltatásmegtagadási (DoS) támadásokra ad lehetőséget, a másik pedig az adatszivárgást segítheti. A foltok az XSLT (Extensible Stylesheet Language Transformations) funkcionalitásban és a WinForms ikonkezelésben található biztonsági réseket javítják. A csomagot a .NET 2.0-től a 4.6-ig minden támogatott verzióra ajánlott feltenni.

Csak óvatosan az automatikus frissítéssel!

Általában javallott, hogy a hibajavításokat bízzuk a rendszerre, és állítsuk be az automatikus frissítést. Így nem kell külön figyelni arra, hogy mikor mit kell letölteni, és nem kell böngészni a különböző csomagok között a Microsoft oldalán.

Most azonban érdemes jobban odafigyelni az automatikus frissítésre is, mivel a februártól a Windows 10 ajánlott frissítés lett a Microsoftnál (erről bővebben egy kattintásnyira írtunk). Ez azt jelenti, hogy ha valaki az automatikus frissítést beállította, egyszer csak arra ébredhet, hogy megszokott Windows 7-e vagy 8-1-e helyett a Windows 10 fogadja a gépén. Ezt a legegyszerűbben az automatikus frissítés kikapcsolásával lehet megelőzni. Ekkor azonban a hibajavításoknál is marad a kézi módszer: tehát először meg kell nézni, hogy milyen frissítéseket kell letölteni, majd azokat egyenként telepíteni.

A frissítésről az Isidor Biztonsági Központ oldalán magyarul is olvashatnak technikai információkat.

Biztonság

Bosszút áll az okostelefon, ha nem foglalkozunk vele

Egy amerikai kutatás szerint az okostelefon nem csak hasznos és szórakoztató társ, de kikapcsolt vagy zsebre tett állapotban elhülyít és ostoba döntésekre kényszerít.
 
Hirdetés

Okos városok felé nyit az ALEF, a Libelium kizárólagos disztribútora lett

Portfólióját az okos város projektek irányába szélesíti az ALEF csoport, amely a közelmúltban disztribúciós megállapodást kötött a témában az élenjárók közé sorolt spanyol Libelium céggel.

Egy hackertámadás kezdete és felfedezése ritkán esik egybe. A kettő között eltelt napok, hetek, hónapok időszaka az, amikor a támadók észrevétlenül garázdálkodhatnak a rendszerben. Lehet és kell is csökkenteni ezt az időt.

a melléklet támogatója a Cisco Systems

Hirdetés

A leghatékonyabb védelem a zsarolóvírusokkal szemben

Már a sérülékenység ismertté válása utáni egy-két órát követően megnyugodhatnak azok, akik a Cisco preventív eszközeivel védik hálózataikat a legújabb fenyegetésekkel szemben.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.