Hat kritikus besorolású sérülékenységet is javított a Microsoft a tegnap kiadott hibajavító csomagjaival. A legtöbb javítást a Windows kapta. A hibajavító keddnek a sztenderdek (Internet Explorer, Edge, Office, .NET) mellett volt egy érdekessége is: dedikált csomagot kaptak az Adobe Flash Player kritikus veszélyességű hibái. Bár a Flash a hibái miatt egyre markánsabb ellenállást vált ki, nagyon lassan kopik ki a használatból. Tavaly ugyan több cég is bevezette, hogy korlátozza/blokkolja például a Flash Player használatát, de végső megoldás egyelőre nem született. (A Google júniusban korlátozta a Flash plugin futását a Chrome-ban, amit a Mozilla másfél hónap késéssel követett.)

Windows a fókuszban

A Windowsban javított legsúlyosabb sérülékenységek a PDF és a Journal állományok kezelésével, feldolgozásával kapcsolatosak. A PDF-probléma gyökere az, hogy a Windows PDF Library-je nem mindig kezeli megfelelően az API-hívásokat. Ez kihasználható akár tetszőleges kódok futtatásához is. A másik hibát speciálisan összeállított Journal állományokkal lehet kihasználni.

Mindkét biztonsági résre igaz, hogy a rendszer annál nagyobb veszélyben van, minél magasabb jogosultsági szinten használják.

A két kritikus javítás mellett fontos besorolású foltokat kapott az NPS RADIUS Server, az Active Directory Federation Services, a kernel módú driverek, a távoli asztali kapcsolatok (RDP) és a WebDAV-támogatás is. Ezek a javítások jellemzően olyan hibákat orvosolnak, melyek jogosulatlan művelet-végrehajtásra, szolgáltatásmegtagadás jellegű támadásra és jogosultsági szint emelésére adnak lehetőséget.

A frissítéseket a Windows összes támogatott kiadásra, így a 10-esre is telepíteni kell.

Ha még nem cserélte le az IE8-at, kezdje azzal

Az Internet Explorerben 13, míg az Edge-ben 6 rést foltoztak be. A legsürgősebb teendő azonban mégsem az, legalábbis azoknál, akik még az Internet Explorer 8. kiadását használják. A 2009. óta szolgálatot teljesítő böngésző múlt hónap második keddjén megkapta utolsó frissítését, és azzal a Microsoft végleg nyugdíjazta is, azaz most már nem is adott ki hozzá biztonsági frissítést. Ha tehát ilyen verziójú IE-t használ, első lépésben váltson támogatott változatra. És utána már jöhetnek a frissítések.

A két csomag javít kritikus hibát. A Internet Explorerben a 9-es kiadástól a 11-esig javítottak memóriakezelési hibát, domainkezelési problémát, OLE (Object Linking and Embedding) problémákat, valamint módosították a HTTP-kezelést is. A hibák a jogosulatlan távoli kódfuttatást és a rendszer fölötti irányítás átvételét is lehetővé tehetik annak függvényében, hogy a felhasználó milyen jogosultságokkal jelentkezett be a rendszerbe.

Az Edge szintén kritikus besorolású javítása a memóriakezelési és HTTP-kezelési rendellenességek mellett az ASLR-védelem megkerülését segítő rést is foltoz.

A biztonsági réseket elsősorban speciálisan összeállított weboldalakkal vagy webes tartalmakkal lehet kihasználni.

Office, SharePoint Server, .NET

Az Office szoftvercsomag szintén kapott kritikus besorolású hibákra javítást. A hibák többsége memória- és objektumkezelési problémákkal függ össze, és a bejelentkezett felhasználó jogosultsági szintjén ad lehetőséget távoli kódfuttatásra. A javítócsomagot az Office 2007-es, 2010-es, 2013-as és 2016-os kiadásaira is fel kell tenni. Bár a csomag az Office-okat javítja, a sérülékenységek egy része a SharePoint Server 2007-es, 2010-es és 2013-as kiadásit is javítja.

A .NET-ben két, fontos besorolású rést foltoztak be. Az egyik szolgáltatásmegtagadási (DoS) támadásokra ad lehetőséget, a másik pedig az adatszivárgást segítheti. A foltok az XSLT (Extensible Stylesheet Language Transformations) funkcionalitásban és a WinForms ikonkezelésben található biztonsági réseket javítják. A csomagot a .NET 2.0-től a 4.6-ig minden támogatott verzióra ajánlott feltenni.

Csak óvatosan az automatikus frissítéssel!

Általában javallott, hogy a hibajavításokat bízzuk a rendszerre, és állítsuk be az automatikus frissítést. Így nem kell külön figyelni arra, hogy mikor mit kell letölteni, és nem kell böngészni a különböző csomagok között a Microsoft oldalán.

Most azonban érdemes jobban odafigyelni az automatikus frissítésre is, mivel a februártól a Windows 10 ajánlott frissítés lett a Microsoftnál (erről bővebben egy kattintásnyira írtunk). Ez azt jelenti, hogy ha valaki az automatikus frissítést beállította, egyszer csak arra ébredhet, hogy megszokott Windows 7-e vagy 8-1-e helyett a Windows 10 fogadja a gépén. Ezt a legegyszerűbben az automatikus frissítés kikapcsolásával lehet megelőzni. Ekkor azonban a hibajavításoknál is marad a kézi módszer: tehát először meg kell nézni, hogy milyen frissítéseket kell letölteni, majd azokat egyenként telepíteni.

A frissítésről az Isidor Biztonsági Központ oldalán magyarul is olvashatnak technikai információkat.