Amikor biztonsági frissítésről van szó, legtöbben az operációs rendszerek vagy az alkalmazások frissítésére koncentrálnak, pedig a számítógépeken rendszerint vannak olyan segédprogramok is, melyeket a gépgyártók előre telepítenek. Ilyen a Lenovo Solution Center (LSC) szoftvere is, amely géppel kapcsolatos problémák diagnosztizálásában, illetve a számítógép állapotának feltérképezésében segít.

Veszélyben a gépe, ha Lenovo!

A kínai cég most erre adott ki egy frissítést, mivel olyan kritikus hibát találtak benne, melynek kihasználásával a támadók akár tetszőleges kódokat is futtathatnak a megtámadott gépen – írta a Biztonságportál. A szoftvert nem csak PC-kre (desktop és notebook), hanem egyes táblagépekre is feltették gyárilag, így meglehetősen széles kört veszélyezte a biztonsági rés.

A rést a Solution Center háttérszolgáltatásokat biztosító részében találták meg. Ennek lényege, hogy az LSCTaskService nevű szolgáltatás a sérülékenység kihasználásával rávehető arra, hogy SYSTEM jogosultsági szinten futtasson le kódot. A helyzetet súlyosbítja egy ún. CSRF (Cross-Site Request Forgery) hiba is, ami lehetővé teszi, hogy a szolgáltatásban talált rést akár speciálisan szerkesztett URL-ek révén is ki lehessen használni. Így akkor is támadható a gép, ha tulajdonosa csak böngészik a neten, és a Lenovo Solution Center felhasználói felületét is biztosító (frontend) összetevője nem is fut.

Ha még nem történt meg automatikusan, mielőbb frissítse a diagnosztikai szoftver. A Solution Center 3.3.002-es verziójában már javították a hibát.

Aztán jöhet a Windows és minden más

Tegnap este a Microsoft is kiadott egy vaskos patchcsomagot , melyek egy része kritikus besorolású hibát orvosol, azaz mielőbb érdemes telepíteni. (A javításokról magyarul az Isidor Biztonsági Központnál is találnak információkat.)

A legtöbb javítást a Windows kapta: összesen tizenegy csomagot, melyeket az összes jelenleg támogatott Windowsra fel kell tenni. A csomagok közül négy kritikus besorolású sérülékenységet javít: a Windows Journal fájlkezelést, a Windows GDI grafikus összetevőt, a Shellt, valamint a JScript- és VBScript-kezelést. Ezeknek a biztonsági réseknek mindegyike lehetővé teszi a jogosulatlan távoli kódfuttatást és művelet-végrehajtást.

Emellett fontos besorolású hibákat javítottak az IIS-ben (DLL-kezelés), a Windows Media Centerben, a Kernelben, a kernel módú driverekben, RPC-ben (Remote Procedure Call), a Virtual Secure Mode-ban és a Volume Manager Driverben.

Az Office is felzárkózott az operációs rendszer mellé: szintén négy súlyosabb hibára is kapott foltot. Ezek a rések egyébként speciálisan szerkesztett Office fájlokkal használhatók ki, és a jogosultsági szint függvényében jogosulatlan kódfuttatásra is lehetőséget adnak. A sérülékenységek többsége a memóriakezeléssel függ össze. A 2007-es  Office-tól felfelé minden irodai csomagot, köztük Mac OS X-es változatot is kell frissíteni.

Örökzöld böngészők

Az Internet Explorerben és az Edge-ben is javítottak távoli kódfuttatást és adatlopást segítő kritikus hibát. A javítócsomagokat az Edge mellett az Internet Explorer 9-es és újabb kiadásokra kell feltenni.

A .NET-ről se feledkezzünk meg, bár csak egy olyan fontos besorolású hibát javítottak benne, ami ún. közbeékelődéses, man-in-the-middle támadásokra ad lehetőséget. A TLS/SSL protokoll kezelését végző egyik komponens hibája miatt a támadók bizonyos körülmények között titkosított adatokat fejthetnek vissza, és lehallgathatják az SSL/TLS-alapú adatforgalomat. A biztonsági rés a .NET Framework 2.0-tól kezdve minden kiadást érint.