Főleg a Windows 7-es gépekre kell odafigyelni. A búcsúzó verzió ugyanis az utolsó javítócsomagját kapta meg tegnap.

Rendkívül súlyos Windows-hiba kapott javítást tegnap. A javítócsomagot minél előbb érdemes telepíteni, már csak azért is, mert például a 7-es verzióra ez az utolsó ingyenes biztonsági frissítés. A nyugdíjazott operációs rendszer azonban még jelenleg is közel félmilliárd gépen fut, a Statcounter adatai szerint a Windows-telepítéseknek globálisan mintegy 30 százalékát, Magyarországon 27 százalékát teszi ki.

A vállalkozások – melyeknél a Kaspersky szerint akár az 50 százalékot is elérheti a Windows 7 aránya – plusz pénzért további három évig juthatnak hozzá a kiterjesztett támogatáshoz. Az Extended Security Updates használatának feltételeiről a napokban írtunk részletesen. A Microsoft mellett egyes biztonsági cégek is adnak majd ki – természetesen szintén pénzért – úgynevezett mikropatch-eket, amikkel be lehet foltozni bizonyos sebezhetőségeket.

Január 14-én nem csak a Windows 7 vonult nyugdíjba. A Microsoft megszüntette a Windows Server 2008 és 2008 R2, valamint a az Exchange Server 2010 támogatását is. Ősszel (október 23-án) pedig az Office 2010-től, a SharePoint Server 2010-től, a Project Server 2010-től és a Windows Embedded Standard 7-től kell búcsúzni.

Minibotránnyal indult a javító kedd

A legsúlyosabb sérülékenység körül kisebb botrány is kerekedett. A KrebsonSecurity blog szerzője, Brian Krebs egy nappal a javítócsomagok hivatalos kiadása előtt írt arról, hogy érkezik javítás a Windows fontos kriptográfiai összetevőjéhez, a crypt32.dll-hez, amit a Microsoft néhány partnerének már korábban, soron kívül átadott. Ezt Krebsnek a vállalat kategorikusan cáfolta, mint válaszukban írták, kizárólag tesztelésre adták ki a javítást, de azt éles rendszerekben egyik partnerük sem használhatta.

Hogy rendkívül komoly sérülékenységről van szó, az is megerősítette, hogy az NSA (National Security Agency) sajtótájékoztatót tartott a témában, és kiadott egy közleményt is.

A crypt32.dll egy olyan biztonsági összetevő, amely a CryptoAPI-ban kezeli a tanúsítványokat és kriptográfiai üzenetküldési funkciókat. A fejlesztők például a CryptoAPI segítségével kapcsolhatják össze alkalmazásaikat a Windows titkosítási szolgáltatásaival. A dll-ben talált hiba – CVE-2020-0601 – miatt veszélybe kerülhetnek például a hitelesítési folyamatok az asztali és a szerver Windowsokon, az Internet Explorerben és az Edge böngészőben kezelt érzékeny adatok, de számos harmadik féltől származó alkalmazás is. A hibát kiaknázva például le lehet hallgatni titkosított kommunikációt, vagy tanúsítványokat lehet hamisítani, hogy a károkozó programokat megbízhatóként azonosítsa a rendszer.

A crypt32.dll a Windows NT 4.0-tól kezdve az összes Windows-változatba belekerült, így okozhat még meglepetéseket a már nem támogatott rendszereknél.

Az NSA közleménye szerint súlyos és kiterjedt következményei lehetnek annak, ha elmarad a patch telepítése. A biztonsági rést kiaknázó eszközök ugyanis valószínűleg gyorsan és széles körben elérhetővé válnak. Brian Krebsnek két szakértő is azt mondta, hogy akár órák alatt elkészülhetnek azok az exploitok, melyek a crypt32.dll biztonsági résére építenek.

A Microsoft azt nyilatkozta, hogy egyelőre nem találtak arra utaló jelet, hogy a hibát kihasználták volna támadásokra.

Ötven hibából nyolc kritikus

A Microsoft összesen ötven hibára adott ki foltot, közülük nyolcat minősített kritikusnak. A CryptoAPI-t érintő hiba mellett javítottak többe között egy távoli kódfuttatást lehetővé tevő rést a Remote Desktop Clientben (CVE-2020-0611), valamint két, szintén távoli kódfuttatásra lehetőséget adó hibát (CVE-2020-0610 és CVE-2020-0609) a Remote Desktop Gateway-ben.

Szintén kritikus hibák kaptak foltot a böngészőkben (IE, Edge), valamint az ASP.NET és a .NET keretrendszerben.

Biztonság

A Google szerint Pest megye a legfegyelmezetlenebb

A keresőóriás összegereblyézte a rendelkezésére álló adatokat, és azokból országokra, sőt kisebb régiókra lebontott statisztikákat gyártott. Ezekből jól látszik a korlátozó intézkedések hatása, de az is, hogy lenne min javítani nálunk is.
 
Hirdetés

Balasys – jóval több mint egy disztribútor

A magyar informatikai biztonsági piacon húsz éve meghatározó Balasys bejelentette, hogy 2020. márciusától az IT menedzsment piac globális gyártójaként ismert Quest portfóliójának disztribútora lett. Így, a One Identity mellett, már a Quest teljes termékpalettáját is értéknövelt disztribútorként és megoldásszállítóként képviseli.

Az innovatív lehetőségek tárháza, a szemmel is látható költségmegtakarítás lehetősége, a munkavállalók egyre fokozódó igénye ellenére egy globális járvány kellett ahhoz, hogy villámgyorsan elterjedjen a távmunka. Milyen feltételei vannak, és lehet-e legalább olyan hatékonyan dolgozni otthonról, mint az irodából?

a melléklet támogatója a Cisco Magyarország

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.