Öt kritikus sérülékenységet is javított a Microsoft magyar idő szerint tegnap este kiadott frissítéseivel, de a többi hét javítócsomag is fontos veszélyességi kategóriába sorolt réseket foltoz be. A Windowsok, a böngészők (Internet Explorer, Edge), az Office mellett a Lync, a SharePoint és az Exchange Server is kapott javítást.

A Windows 10-et is javították

A Windowsokban két kritikus hibát is javítottak, melyek lehetővé teszik a számítógépek feletti teljes irányítás átvételét. A legsúlyosabb sebezhetőség a kézi jegyzetelést támogató Windows Journalban volt, melyet speciális Journal fájlokkal lehet kihasználni. Ez jogosulatlan távoli kódfuttatást és DoS (Denial-of-Service) jellegű, azaz szolgáltatásmegtagadási támadásokat tesz lehetővé. A hiba azért különösen veszélyes, mert kihasználása akár adatvesztést is okozhat.

A másik kritikus hiba a Windows egyes grafikus összetevőit érinti, melynek révén speciális OpenType betűkészletekkel akár kernel szintű problémákat is elő lehet idézni.

Fontos veszélyességi kategóriába sorolt réseket foltoztak az Active Directoryban (DoS sebezhetőség), a Windows Media Centerben (jogosulatlan távoli kódfuttatás), a Windows Task Managementben (jogosultsági szint emelése) és a Hyper-V-ben (biztonsági megkötések megkerülése).

Webböngészők és az Office

A böngészőkhöz kiadott javítócsomagok Internet Explorerben 17, míg a Windows 10-zel megjelent Edge-ben négy rést foltoztak be. Ezek többsége valamilyen memóriakezelési hibát orvosolt, melyek speciálisan összeállított weboldalak vagy webes tartalmak megtekintésekor jelentenek veszélyt. A hibák többsége főleg akkor veszélyes, ha a felhasználó rendszergazdai jogosultságok birtokában futtatja a böngészőjét – emelte ki a Biztonságportál. Emellett Az IE-ben javítottak egy adatlopást, adatszivárogtatást segítő rést is.

Kritikus hibákat javítottak az Office csomagban is, melyek révén jogosulatlanul lehet távolról kódot futtatni és műveleteket végrehajtani, ha a felhasználó megnyit egy speciálisan szerkesztett, fertőzött Office dokumentumot. A csomagban most javított mindhárom rés az összes jelenleg támogatott irodai csomagot érint. (Office 2007-2013).

Javítások a szerveroldalon

Kapott javítást a SharePoint Server 2013 és az Exchange Server is. Ez utóbbi hármat is, amelyek mindegyike fontos veszélyességi besorolású. Elsősorban a megtévesztésre épülő (spoofing típusú) támadások végrehajtását segítik, és adatlopásra és adatmanipulációkra adhatnak lehetőséget. A javított hibák konkrétan az OWA-ban (Outlook Web Access) vannak. Az OWA egyes esetekben nem megfelelően ellenőrzi a bemeneti paramétereket, illetve a webes kéréseket. A javításokat az Exchange Server 2013-ra kell telepíteni.

Kapott javításokat a Lync Server 2013 és a Skype for Business Server 2015. Az ezekben befoltozott rések mindegyike XSS (Cross Site Scripting) támadásokat tesz lehetővé.

Két hiba javult a .Net keretrendszerben

Szintén fontos besorolású hibákat javítottak .Net keretrendszerben. Az egyik hiba a windowsos és a webes alkalmazások is a jogosultsági szint emelést segíti. A másik sérülékenységet, amely az ASP.NET-ben található MVC-t (Model View Controller) érinti, szolgáltatásmegtagadási támadásokban lehet kihasználni webhelyek lebénítására. Mindkét hiba érinti az összes .Net-kiadást a 2.0-től a legújabbig, a 4.6-osig.

Ha nem használ automatikus frissítést, a javítások a Microsoft oldaláról tölthetők le. Magyar nyelven az Isidor Biztonsági Központ oldalán olvashat bővebben a témáról.