Főleg a Windows 7-es gépekre kell odafigyelni. A búcsúzó verzió ugyanis az utolsó javítócsomagját kapta meg tegnap.

Rendkívül súlyos Windows-hiba kapott javítást tegnap. A javítócsomagot minél előbb érdemes telepíteni, már csak azért is, mert például a 7-es verzióra ez az utolsó ingyenes biztonsági frissítés. A nyugdíjazott operációs rendszer azonban még jelenleg is közel félmilliárd gépen fut, a Statcounter adatai szerint a Windows-telepítéseknek globálisan mintegy 30 százalékát, Magyarországon 27 százalékát teszi ki.

A vállalkozások – melyeknél a Kaspersky szerint akár az 50 százalékot is elérheti a Windows 7 aránya – plusz pénzért további három évig juthatnak hozzá a kiterjesztett támogatáshoz. Az Extended Security Updates használatának feltételeiről a napokban írtunk részletesen. A Microsoft mellett egyes biztonsági cégek is adnak majd ki – természetesen szintén pénzért – úgynevezett mikropatch-eket, amikkel be lehet foltozni bizonyos sebezhetőségeket.

Január 14-én nem csak a Windows 7 vonult nyugdíjba. A Microsoft megszüntette a Windows Server 2008 és 2008 R2, valamint a az Exchange Server 2010 támogatását is. Ősszel (október 23-án) pedig az Office 2010-től, a SharePoint Server 2010-től, a Project Server 2010-től és a Windows Embedded Standard 7-től kell búcsúzni.

Minibotránnyal indult a javító kedd

A legsúlyosabb sérülékenység körül kisebb botrány is kerekedett. A KrebsonSecurity blog szerzője, Brian Krebs egy nappal a javítócsomagok hivatalos kiadása előtt írt arról, hogy érkezik javítás a Windows fontos kriptográfiai összetevőjéhez, a crypt32.dll-hez, amit a Microsoft néhány partnerének már korábban, soron kívül átadott. Ezt Krebsnek a vállalat kategorikusan cáfolta, mint válaszukban írták, kizárólag tesztelésre adták ki a javítást, de azt éles rendszerekben egyik partnerük sem használhatta.

Hogy rendkívül komoly sérülékenységről van szó, az is megerősítette, hogy az NSA (National Security Agency) sajtótájékoztatót tartott a témában, és kiadott egy közleményt is.

A crypt32.dll egy olyan biztonsági összetevő, amely a CryptoAPI-ban kezeli a tanúsítványokat és kriptográfiai üzenetküldési funkciókat. A fejlesztők például a CryptoAPI segítségével kapcsolhatják össze alkalmazásaikat a Windows titkosítási szolgáltatásaival. A dll-ben talált hiba – CVE-2020-0601 – miatt veszélybe kerülhetnek például a hitelesítési folyamatok az asztali és a szerver Windowsokon, az Internet Explorerben és az Edge böngészőben kezelt érzékeny adatok, de számos harmadik féltől származó alkalmazás is. A hibát kiaknázva például le lehet hallgatni titkosított kommunikációt, vagy tanúsítványokat lehet hamisítani, hogy a károkozó programokat megbízhatóként azonosítsa a rendszer.

A crypt32.dll a Windows NT 4.0-tól kezdve az összes Windows-változatba belekerült, így okozhat még meglepetéseket a már nem támogatott rendszereknél.

Az NSA közleménye szerint súlyos és kiterjedt következményei lehetnek annak, ha elmarad a patch telepítése. A biztonsági rést kiaknázó eszközök ugyanis valószínűleg gyorsan és széles körben elérhetővé válnak. Brian Krebsnek két szakértő is azt mondta, hogy akár órák alatt elkészülhetnek azok az exploitok, melyek a crypt32.dll biztonsági résére építenek.

A Microsoft azt nyilatkozta, hogy egyelőre nem találtak arra utaló jelet, hogy a hibát kihasználták volna támadásokra.

Ötven hibából nyolc kritikus

A Microsoft összesen ötven hibára adott ki foltot, közülük nyolcat minősített kritikusnak. A CryptoAPI-t érintő hiba mellett javítottak többe között egy távoli kódfuttatást lehetővé tevő rést a Remote Desktop Clientben (CVE-2020-0611), valamint két, szintén távoli kódfuttatásra lehetőséget adó hibát (CVE-2020-0610 és CVE-2020-0609) a Remote Desktop Gateway-ben.

Szintén kritikus hibák kaptak foltot a böngészőkben (IE, Edge), valamint az ASP.NET és a .NET keretrendszerben.

Biztonság

3D-ben nyomtatott karácsonyi csoda

Charlotte, a balesetben megsérült teknős egy gyógyászati célú hámot kapott ajándékba, amellyel a remények szerint újra úgy úszkálhat majd, mint egészséges társai.
 
Hirdetés

Felhőbe vezető út hazai szakértelemmel

Robusztus műszaki háttér, korszerű technológia és a felhasználóbarát kezelhetőség. A Flex Cloudhoz nem kell nagy IT-csapat, csak egy elhatározás és pár kattintás.

A szoftveresen definiált WAN hálózatok kiépítése jóval komplexebb feladat egy hagyományos hálózati fejlesztésnél.

a melléklet támogatója a Yettel

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.