Rendkívül súlyos Windows-hiba kapott javítást tegnap. A javítócsomagot minél előbb érdemes telepíteni, már csak azért is, mert például a 7-es verzióra ez az utolsó ingyenes biztonsági frissítés. A nyugdíjazott operációs rendszer azonban még jelenleg is közel félmilliárd gépen fut, a Statcounter adatai szerint a Windows-telepítéseknek globálisan mintegy 30 százalékát, Magyarországon 27 százalékát teszi ki.

A vállalkozások – melyeknél a Kaspersky szerint akár az 50 százalékot is elérheti a Windows 7 aránya – plusz pénzért további három évig juthatnak hozzá a kiterjesztett támogatáshoz. Az Extended Security Updates használatának feltételeiről a napokban írtunk részletesen. A Microsoft mellett egyes biztonsági cégek is adnak majd ki – természetesen szintén pénzért – úgynevezett mikropatch-eket, amikkel be lehet foltozni bizonyos sebezhetőségeket.

Január 14-én nem csak a Windows 7 vonult nyugdíjba. A Microsoft megszüntette a Windows Server 2008 és 2008 R2, valamint a az Exchange Server 2010 támogatását is. Ősszel (október 23-án) pedig az Office 2010-től, a SharePoint Server 2010-től, a Project Server 2010-től és a Windows Embedded Standard 7-től kell búcsúzni.

Minibotránnyal indult a javító kedd

A legsúlyosabb sérülékenység körül kisebb botrány is kerekedett. A KrebsonSecurity blog szerzője, Brian Krebs egy nappal a javítócsomagok hivatalos kiadása előtt írt arról, hogy érkezik javítás a Windows fontos kriptográfiai összetevőjéhez, a crypt32.dll-hez, amit a Microsoft néhány partnerének már korábban, soron kívül átadott. Ezt Krebsnek a vállalat kategorikusan cáfolta, mint válaszukban írták, kizárólag tesztelésre adták ki a javítást, de azt éles rendszerekben egyik partnerük sem használhatta.

Hogy rendkívül komoly sérülékenységről van szó, az is megerősítette, hogy az NSA (National Security Agency) sajtótájékoztatót tartott a témában, és kiadott egy közleményt is.

A crypt32.dll egy olyan biztonsági összetevő, amely a CryptoAPI-ban kezeli a tanúsítványokat és kriptográfiai üzenetküldési funkciókat. A fejlesztők például a CryptoAPI segítségével kapcsolhatják össze alkalmazásaikat a Windows titkosítási szolgáltatásaival. A dll-ben talált hiba – CVE-2020-0601 – miatt veszélybe kerülhetnek például a hitelesítési folyamatok az asztali és a szerver Windowsokon, az Internet Explorerben és az Edge böngészőben kezelt érzékeny adatok, de számos harmadik féltől származó alkalmazás is. A hibát kiaknázva például le lehet hallgatni titkosított kommunikációt, vagy tanúsítványokat lehet hamisítani, hogy a károkozó programokat megbízhatóként azonosítsa a rendszer.

A crypt32.dll a Windows NT 4.0-tól kezdve az összes Windows-változatba belekerült, így okozhat még meglepetéseket a már nem támogatott rendszereknél.

Az NSA közleménye szerint súlyos és kiterjedt következményei lehetnek annak, ha elmarad a patch telepítése. A biztonsági rést kiaknázó eszközök ugyanis valószínűleg gyorsan és széles körben elérhetővé válnak. Brian Krebsnek két szakértő is azt mondta, hogy akár órák alatt elkészülhetnek azok az exploitok, melyek a crypt32.dll biztonsági résére építenek.

A Microsoft azt nyilatkozta, hogy egyelőre nem találtak arra utaló jelet, hogy a hibát kihasználták volna támadásokra.

Ötven hibából nyolc kritikus

A Microsoft összesen ötven hibára adott ki foltot, közülük nyolcat minősített kritikusnak. A CryptoAPI-t érintő hiba mellett javítottak többe között egy távoli kódfuttatást lehetővé tevő rést a Remote Desktop Clientben (CVE-2020-0611), valamint két, szintén távoli kódfuttatásra lehetőséget adó hibát (CVE-2020-0610 és CVE-2020-0609) a Remote Desktop Gateway-ben.

Szintén kritikus hibák kaptak foltot a böngészőkben (IE, Edge), valamint az ASP.NET és a .NET keretrendszerben.