Főleg a Windows 7-es gépekre kell odafigyelni. A búcsúzó verzió ugyanis az utolsó javítócsomagját kapta meg tegnap.

Rendkívül súlyos Windows-hiba kapott javítást tegnap. A javítócsomagot minél előbb érdemes telepíteni, már csak azért is, mert például a 7-es verzióra ez az utolsó ingyenes biztonsági frissítés. A nyugdíjazott operációs rendszer azonban még jelenleg is közel félmilliárd gépen fut, a Statcounter adatai szerint a Windows-telepítéseknek globálisan mintegy 30 százalékát, Magyarországon 27 százalékát teszi ki.

A vállalkozások – melyeknél a Kaspersky szerint akár az 50 százalékot is elérheti a Windows 7 aránya – plusz pénzért további három évig juthatnak hozzá a kiterjesztett támogatáshoz. Az Extended Security Updates használatának feltételeiről a napokban írtunk részletesen. A Microsoft mellett egyes biztonsági cégek is adnak majd ki – természetesen szintén pénzért – úgynevezett mikropatch-eket, amikkel be lehet foltozni bizonyos sebezhetőségeket.

Január 14-én nem csak a Windows 7 vonult nyugdíjba. A Microsoft megszüntette a Windows Server 2008 és 2008 R2, valamint a az Exchange Server 2010 támogatását is. Ősszel (október 23-án) pedig az Office 2010-től, a SharePoint Server 2010-től, a Project Server 2010-től és a Windows Embedded Standard 7-től kell búcsúzni.

Minibotránnyal indult a javító kedd

A legsúlyosabb sérülékenység körül kisebb botrány is kerekedett. A KrebsonSecurity blog szerzője, Brian Krebs egy nappal a javítócsomagok hivatalos kiadása előtt írt arról, hogy érkezik javítás a Windows fontos kriptográfiai összetevőjéhez, a crypt32.dll-hez, amit a Microsoft néhány partnerének már korábban, soron kívül átadott. Ezt Krebsnek a vállalat kategorikusan cáfolta, mint válaszukban írták, kizárólag tesztelésre adták ki a javítást, de azt éles rendszerekben egyik partnerük sem használhatta.

Hogy rendkívül komoly sérülékenységről van szó, az is megerősítette, hogy az NSA (National Security Agency) sajtótájékoztatót tartott a témában, és kiadott egy közleményt is.

A crypt32.dll egy olyan biztonsági összetevő, amely a CryptoAPI-ban kezeli a tanúsítványokat és kriptográfiai üzenetküldési funkciókat. A fejlesztők például a CryptoAPI segítségével kapcsolhatják össze alkalmazásaikat a Windows titkosítási szolgáltatásaival. A dll-ben talált hiba – CVE-2020-0601 – miatt veszélybe kerülhetnek például a hitelesítési folyamatok az asztali és a szerver Windowsokon, az Internet Explorerben és az Edge böngészőben kezelt érzékeny adatok, de számos harmadik féltől származó alkalmazás is. A hibát kiaknázva például le lehet hallgatni titkosított kommunikációt, vagy tanúsítványokat lehet hamisítani, hogy a károkozó programokat megbízhatóként azonosítsa a rendszer.

A crypt32.dll a Windows NT 4.0-tól kezdve az összes Windows-változatba belekerült, így okozhat még meglepetéseket a már nem támogatott rendszereknél.

Az NSA közleménye szerint súlyos és kiterjedt következményei lehetnek annak, ha elmarad a patch telepítése. A biztonsági rést kiaknázó eszközök ugyanis valószínűleg gyorsan és széles körben elérhetővé válnak. Brian Krebsnek két szakértő is azt mondta, hogy akár órák alatt elkészülhetnek azok az exploitok, melyek a crypt32.dll biztonsági résére építenek.

A Microsoft azt nyilatkozta, hogy egyelőre nem találtak arra utaló jelet, hogy a hibát kihasználták volna támadásokra.

Ötven hibából nyolc kritikus

A Microsoft összesen ötven hibára adott ki foltot, közülük nyolcat minősített kritikusnak. A CryptoAPI-t érintő hiba mellett javítottak többe között egy távoli kódfuttatást lehetővé tevő rést a Remote Desktop Clientben (CVE-2020-0611), valamint két, szintén távoli kódfuttatásra lehetőséget adó hibát (CVE-2020-0610 és CVE-2020-0609) a Remote Desktop Gateway-ben.

Szintén kritikus hibák kaptak foltot a böngészőkben (IE, Edge), valamint az ASP.NET és a .NET keretrendszerben.

Biztonság

Milliónyi app elutasításával mosdatja magát az Apple

Cupertino részletes jelentést adott arról, mennyit dolgozott tavaly azon, hogy eszközeire ne lehessen káros alkalmazásokat telepíteni. Van azonban olyan helyzet, amikor a sok is kevés lehet.
 
...az pedig sokkal gyorsabb, ha mindent csak egyszer, vagy még egyszer sem kell személyesen elvégezni. Májusi mellékletünk második része az IT infrastruktúra automatizálásáról.

a melléklet támogatója az EURO ONE Számítástechnikai Zrt.

Az elmúlt tíz évben radikális változás történt az adatfeldolgozásban, ami az infrastruktúrát is átalakította.

a melléklet támogatója a Dell Magyarország

Ha bővítené tudását és fejlődne a digitális transzformáció területén, látogasson el a Transformation-experts.hu oldalra, ahol egy gyors regisztráció után inspiráló cikkek, esettanulmányok, prezentációk, videók és egyéb szakértői anyagok széles tárházához kap hozzáférést.

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.