Főleg a Windows 7-es gépekre kell odafigyelni. A búcsúzó verzió ugyanis az utolsó javítócsomagját kapta meg tegnap.

Rendkívül súlyos Windows-hiba kapott javítást tegnap. A javítócsomagot minél előbb érdemes telepíteni, már csak azért is, mert például a 7-es verzióra ez az utolsó ingyenes biztonsági frissítés. A nyugdíjazott operációs rendszer azonban még jelenleg is közel félmilliárd gépen fut, a Statcounter adatai szerint a Windows-telepítéseknek globálisan mintegy 30 százalékát, Magyarországon 27 százalékát teszi ki.

A vállalkozások – melyeknél a Kaspersky szerint akár az 50 százalékot is elérheti a Windows 7 aránya – plusz pénzért további három évig juthatnak hozzá a kiterjesztett támogatáshoz. Az Extended Security Updates használatának feltételeiről a napokban írtunk részletesen. A Microsoft mellett egyes biztonsági cégek is adnak majd ki – természetesen szintén pénzért – úgynevezett mikropatch-eket, amikkel be lehet foltozni bizonyos sebezhetőségeket.

Január 14-én nem csak a Windows 7 vonult nyugdíjba. A Microsoft megszüntette a Windows Server 2008 és 2008 R2, valamint a az Exchange Server 2010 támogatását is. Ősszel (október 23-án) pedig az Office 2010-től, a SharePoint Server 2010-től, a Project Server 2010-től és a Windows Embedded Standard 7-től kell búcsúzni.

Minibotránnyal indult a javító kedd

A legsúlyosabb sérülékenység körül kisebb botrány is kerekedett. A KrebsonSecurity blog szerzője, Brian Krebs egy nappal a javítócsomagok hivatalos kiadása előtt írt arról, hogy érkezik javítás a Windows fontos kriptográfiai összetevőjéhez, a crypt32.dll-hez, amit a Microsoft néhány partnerének már korábban, soron kívül átadott. Ezt Krebsnek a vállalat kategorikusan cáfolta, mint válaszukban írták, kizárólag tesztelésre adták ki a javítást, de azt éles rendszerekben egyik partnerük sem használhatta.

Hogy rendkívül komoly sérülékenységről van szó, az is megerősítette, hogy az NSA (National Security Agency) sajtótájékoztatót tartott a témában, és kiadott egy közleményt is.

A crypt32.dll egy olyan biztonsági összetevő, amely a CryptoAPI-ban kezeli a tanúsítványokat és kriptográfiai üzenetküldési funkciókat. A fejlesztők például a CryptoAPI segítségével kapcsolhatják össze alkalmazásaikat a Windows titkosítási szolgáltatásaival. A dll-ben talált hiba – CVE-2020-0601 – miatt veszélybe kerülhetnek például a hitelesítési folyamatok az asztali és a szerver Windowsokon, az Internet Explorerben és az Edge böngészőben kezelt érzékeny adatok, de számos harmadik féltől származó alkalmazás is. A hibát kiaknázva például le lehet hallgatni titkosított kommunikációt, vagy tanúsítványokat lehet hamisítani, hogy a károkozó programokat megbízhatóként azonosítsa a rendszer.

A crypt32.dll a Windows NT 4.0-tól kezdve az összes Windows-változatba belekerült, így okozhat még meglepetéseket a már nem támogatott rendszereknél.

Az NSA közleménye szerint súlyos és kiterjedt következményei lehetnek annak, ha elmarad a patch telepítése. A biztonsági rést kiaknázó eszközök ugyanis valószínűleg gyorsan és széles körben elérhetővé válnak. Brian Krebsnek két szakértő is azt mondta, hogy akár órák alatt elkészülhetnek azok az exploitok, melyek a crypt32.dll biztonsági résére építenek.

A Microsoft azt nyilatkozta, hogy egyelőre nem találtak arra utaló jelet, hogy a hibát kihasználták volna támadásokra.

Ötven hibából nyolc kritikus

A Microsoft összesen ötven hibára adott ki foltot, közülük nyolcat minősített kritikusnak. A CryptoAPI-t érintő hiba mellett javítottak többe között egy távoli kódfuttatást lehetővé tevő rést a Remote Desktop Clientben (CVE-2020-0611), valamint két, szintén távoli kódfuttatásra lehetőséget adó hibát (CVE-2020-0610 és CVE-2020-0609) a Remote Desktop Gateway-ben.

Szintén kritikus hibák kaptak foltot a böngészőkben (IE, Edge), valamint az ASP.NET és a .NET keretrendszerben.

Biztonság

Pénzben fürdetik Elon Musk mesterségesintelligencia-cégét is

A jelek szerint a befektetők képtelenek nemet mondani, ha a világ (ebben a pillanatban harmadik) leggazdagabb embere kitalál valamit.
 
Bejelentési kötelezettségük elmulasztása, és a szabályoknak való sorozatos meg nem felelés komoly pénzbírságot vonhat maga után.

a melléklet támogatója a Balasys IT Zrt.

Hirdetés

Biztonságos M2M kommunikáció nagyvállalti környezetben a Balasystól

A megnövekedett támadások miatt az API-k biztonsága erősen szabályozott és folyamatosan auditált terület, amelynek védelme a gépi kommunikáció (M2M) biztonságossá tételén múlik.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.