Négy kritikus hibát is javítottak a Microsoft áprilisi pakkjában, melyről idén már csak a Preimer ügyfelek kapnak előzetes összefoglalót. A legtöbb javítást a Windows kapta, valamint javították az Internet Explorert, az Office alkalmazásai, a SharePoint Servert és a .NET keretrendszert is, azaz mind az egyéni, mind a vállalati felhasználóknak érdemes telepíteiük a frissítéseket – írta összefoglalójában a Biztonságportál.
Windows: két kritikus hiba
A Windowsban két kritikus hibához érkezett javítás. A legnagyobb problémát a HTTP-kezelés okozhatja: speciálisan összeállított HTTP-kérésekkel tetszőleges kódokat futtathatnak le a System fiók jogosultsági kontextusában. A hiba a HTTP.sys esetében merült fel. A másik kritikus bugot az operációs rendszer egyik grafikus összetevőjében találták. Ez EMF (a vektorgrafikus Windows WMF – Windows Metafile továbbfejlesztett változata) formátumú képállományok feldolgozásakor okozhat problémát. A támadók dokumentumokon, weboldalakon vagy e-maileken keresztül olyan képek megnyitására vehetik rá a felhasználót, amelyek révén képessé válhatnak tetszőleges kódok futtatására.
A két kritikus hiba mellett megszüntetett egy jogosultsági szint emelésre lehetőséget adó rendellenességet a Feladatütemezőben, eltávolított egy adatszivárgásokra módot adó hibát az Active Directory Federation Services szolgáltatásból, és az XML-feldolgozást is biztonságosabbá tette. A Hyper-V virtualizáció is kapott egy olyan frissítést, ami csökkenti a szolgáltatásmegtagadási támadások kockázatát.
Újra felfedeztek egy 18 éves hibát
Egy nappal a Microsoft-frissítések kiadása előtt tette közzé a Cylance Spear biztonsági cég azt a súlyos hibát, amely gyakorlatilag 18 éve veszélyezteti a windowsos alkalmazásokat. Ráadásul úgy, hogy magát a Windows SMB (Server Message Block) működésére visszavezethető hibát 1997-ben egy Aaron Spangler nevű biztonsági kutató már kimutatta az Internet Explorerben.
Most a Cylance Spear egy kutatója kiderítette: a hiba még mindig létezik. A kutatók mintegy harminc windowsos alkalmazásban mutatták ki a biztonsági rést, köztük olyanokban mint az Adobe Reader, az Apple QuickTime vagy az Internet Explorer, de az Excel egyes verzióit és biztonsági szoftvereket is érint (Symantec, AVG, BitDefender). Az érintett alkalmazásokból egy közbeékeléses támadással meg lehet szerezni a felhasználók adatait (pl. felhasználónév-jelszó).
Technikai részleteket a Cylance Spraer hivatalos blogjában olvashatnak, ahol az érintett szoftverek teljes listáját is megtalálják.
A javítások a Windows minden jelenleg támogatott desktop és szerver változatát érinti.
Memóriakezelési hibák mindefelé
Az IE tíz javított hibája között is van kritikus veszélyességűnek minősített. A legtöbb javítás – összesen kilenc – memóriakezelési problémákra vezethető vissza, a tizedik pedig az ASLR (Address Space Layout Randomization) védelem megkerülését teszi lehetővé.
A hibák az IE esetében is az összes jelenleg támogatással rendelkező verziót érintik, azaz a 11-est is.
Az Office csomag alkalmazásainál szintén főleg memóriakezelési problémákat javítottak, melyeket speciálisan szerkesztett állományokkal lehet kihasználni. Segítségükkel tetszőleges kódot lehet bejuttathatnak a memóriába, és a felhasználó jogosultsági szintjén különböző műveleteket lehet végrehajtani. A kockázatok mértéke így a felhasználó jogosultsági szintjének függvényében változik.
A javításokat az Office 2007-es, 2010-es és 2013-as kiadásokra, az Offive for Macre és a Word Viewerre is telepíteni kell.
.NET és SharePoint Server
A .NET keretrendszerben egy adatszivárgásra lehetőséget adó sebezhetőséget szüntetett meg az ASP.NET kapcsán. Itt az okoz gondot, hogy olyan webes kéréseket lehet küldeni, amelyekre értékes információkat tartalmazó hibaüzeneteket ad vissza a rendszer akkor is, ha azokat a fejlesztők vagy az üzemeltetők korábban letiltották. A hibaüzenetben megjelenhetnek például a web.config fájl olyan részei is, melyek bizalmas adatokat tartalmazhatnak. A sérülékenység a .Net keretrendszer összes eddig megjelent kiadását sújtja.
A SharePoint Server 2010-es, illetve 2013-as kiadása pedig két XSS (cross-site scripting) hibát tartalmaz, melyeket kihasználva tetszőleges HTML és script kódokat lehet futtatni. A sérülékenységek egyes bemeneti paraméterek hibás ellenőrzésére vezethetők vissza. A két XSS hiba speciálisan webes kérésekkel használható ki.
A javításokról további részleteket a Microsoft weboldalain ás az Isidor Biztonsági Központ weblapjain olvashatnak.
Az AI mint vállalati működési réteg: hogyan alakul át a digitális operáció?
A vállalati digitalizáció következő szakaszát egyre kevésbé az új alkalmazások vagy önálló technológiai projektek határozzák meg. A fókusz fokozatosan a működés egészének átalakulása felé mozdul: hogyan lehet a folyamatokat gyorsabban, hatékonyabban és nagyobb üzleti kontroll mellett működtetni egy olyan környezetben, ahol az adatmennyiség, a rendszerek komplexitása és a reakcióidővel kapcsolatos elvárások folyamatosan növekednek.
a melléklet támogatója a ONE Solutions
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?