Egy híján félszáz hibajavítást adott ki a Microsoft azután, hogy a Windows 10 őszi nagy frissítését kénytelen volt visszavonni. Több kritikus besorolású biztonsági rés kapott foltot. A teljes listát és a javítások magyarázatot szokás szerint a frissítések összefoglaló oldalán találják az érintettek.

A hibajavító csomagok függetlenek a Windows 10 nagy frissítésétől, mielőbb érdemes azokat telepíteni, mivel többek között olyan hibákat javítanak, melyek jogosulatlan kódfuttatást, a jogosultsági szint emelését, a védelmi mechanizmusok megkerülését és adatlopást is lehetővé tesznek.

Kapott javítást többek között a Windows, a két böngésző (Edge, Internet Explorer), az Office, az Azure, az SQL Server Management Studio, a ChakraCore és a Windows Hyper-V, az Exchange és a SharePoint is.

Windowsos javítások

A Windows támogatott verziói kapták a legtöbb javítást, összesen több mint két tucatot. Közülük az egyik legfontosabb egy nulladik napi sérülékenység javítása (CVE-2018-8453). A hiba, amit egyébként a Kaspersky Lab talált meg, sajnos már a hekkereknek is adott lehetőséget támadásra: a FruityArmor csoport például ezen keresztül hajtott végre célzott támadásokat. A hiba kihasználásával a jogosultsági szintet lehet megemelni, amivel a támadó akár a rendszer teljes irányítását is átveheti.

Emellett frissítették például az operációs rendszer kernelét, a GDI+-t, az NTFS-támogatást, a Hyper-V-t, a Jetet, a TCP/IP-kezelés, a DNS szolgáltatást és az XML Core Servicest is. Szakértők arra külön felhívják a figyelmet, hogy már a múlt héten megjelent Windows Server 2019 is kapott foltot. A Hyper-V-re érdemes külön is figyelni, mert két kritikus besorolású hibát is javítottak benne, melyek a gazdarendszereken tesznek lehetővé jogosulatlan kódfuttatást.

Egy 8 éve ismert hibát is javítottak

Kritikus és fontos besorolású sérülékenységet is javítottak a két böngészőben, az Internet Explorerben és az Edge-ben. Itt olyan hibákat szüntettek meg, melyek jellemzően preparált webes tartalmak megtekintéskor okozhatnak problémákat. Az Edge-et érinti a Chakra szkriptmotor memóriakezelésében talált kritikus besorolású sebezhetőség javítása is, amely távoli jogosulatlan kódfuttatást tesz lehetővé.

Az Office-ban több fontos besorolású hibát javítottak, köztük azt, amely az előnézeti panelben találtak. A biztonsági rés a Word szövegszerkesztőt, az Excelt és a PowerPointot is érinti, bizonyos körülmények között jogosulatlan távoli kódfuttatást segíthet elő, így érdemes mindhárom alkalmazást mielőbb frissíteni.

Az SQL Server Management Studióban olyan hibát javítottak, amely jogosulatlan fájlhozzáférésre ad lehetőséget. Kapott javítást az Exchange Server, az OWA (Outlook Web Access), sőt egy olyan hiba is (CVE-2010-2190), amiről 2010. óta tudják, hogy ott lapul az Exchange Serverben, és a 2010-es kiadás mellett a 2013-ast és 2016-ost is érinti.