Alig jelent meg, máris frissítették a Windows 10-et és az Edge-et, ami a tőzsdei szoftvercégek termékkiadási kényszeréről is sokat elárul: a kiadásoknál erősebben érvényesülnek a piaci kényszerek, mint a termék kiforrottsága.

A foltok egy része ráadásul kritikus veszélyességű hibákat orvosol, azaz valószínűleg már a kiadás pillanatában voltak olyan rések, melyeket kihasználva átvehető az irányítás a Windows 10-es gépek fölött. Ezekből pedig már van jó sok, hiszen sokan ingyenesen juthattak hozzá a legújabb verzióhoz. Csak az első 24 órában 14 millióan töltötték le a rendszert, és mint azt pár napja írtuk, már a Windowsok közel 2,5 százalékát ez a verzió teszik ki.

A tegnap kiadott javító csomagok – melyek közül négy a legmagasabb veszélyességi besorolást kapott hibát javít – persze ezek nem csak az újdonságokat érintik: régebbi még támogatott Windowsokat, az Internet Explorert, az Edge böngészőt, az Office-t, a .NET keretrendszert, a Lync-et és a Silverlightot is érdemes frissíteni – figyelmeztet összeállításában a Biztonságportál. (A sebezhetőségekről az Isidor Biztonsági Központban további részleteket is olvashat magyarul.)

Az OpenType több termékben is bekavar

A legtöbb kockázatot az a sérülékenység jelenti, amelyet az operációs rendszer egyik grafikus összetevőjében javítottak. A hibát az okozza, hogy a rendszer esetenként nem megfelelően dolgozza fel az OpenType betűtípusokat. A hiba azonban összetett, ugyanis hatással van a .NET keretrendszerre, a Lync-re, az Office-ra és a Silverlightra is.

Magában a Windowsban egyébként több funkciót is kellett javítani: az RDP-kezelés (Remote Desktop Protocol), az SMB naplózást (Server Message Block), a Mount Managert, a parancssori műveletek paraméterkezelését, az XML Core Servicest és a WebDAV-ot is. Ezekben a komponensekben olyan hibákat javítottak, melyek jogosulatlan művelet-végrehajtásra, kódfuttatásra, jogosultsági szint emelésre és adatszivárogtatásra is lehetőséget adnak.

Vajon megismétli az Edge az Internet Explorer-sztorit?

Az Internet Explorer jó ideig a hibajavító keddek sztárja volt, nem véletlen, hogy a Microsoft egy újragondolt és alapjaitól új fejlesztéssel váltotta le. Hogy milyen siker koronázza a redmondiak erőfeszítéseit, egyelőre a jövő titka. Egy biztos, most az Edge is kapott frissítéseket, szám szerint négyet, míg az IE tizenhármat.

Mindkét böngészőben javítottak kritikus veszélyességű memóriakezelési rendellenességeket. Emellett javították azt is, amely a védelmi mechanizmusok (például az ASLR) megkerülésére adhatnak lehetőséget. A sikeres támadáshoz csupán arra kell rávenni egy felhasználót, hogy megnyisson egy ártalmas weblapot ez IE-ben vagy az Edge-ben.

Az Office-hoz kiadott patch szintén kritikus veszélyességű réseket foltoz. Kihasználásával puffertúlcsordulási hibák idézhetők elő, amelyek tetszőleges kódok jogosulatlan távoli futtatását eredményezhetik. A sebezhetőségek többsége itt is memóriakezelési problémákra vezethető vissza, de van egy olyan is, amelyet a sablonok nem kellő szintű ellenőrzése okoz. Az Office-ban javított hibákat speciálisan összeállított Office fájlokkal, dokumentumokkal lehet kihasználni.

Fontos frissítések a szerveres és a .NET-es fronton

Fontos frissítést kapott a System Center 2012 Operations Manager és a BizTalk Server. A Sytem Centernél a jogosultsági szintet lehet emelni a hiba kiaknázásával. A BizTalk Serverben az UDDI (Universal Description, Discovery and Integration) szolgáltatás egy olyan hibáját javították, ami ún. XSS-alapú (Cross Site Scripting) támadásokra, illetve jogosultságokkal történő visszaélésre ad lehetőséget.

A .NET keretrendszer javítása három sebezhetőséget szüntet meg. Mindhárom a RyuJIT fordítóval, illetve az optimalizációval kapcsolatos. Ezeket a réseket speciálisan összeállított .NET-es alkalmazásokkal lehet kiaknázni. Ha a felhasználó elindít egy ilyen spéci alkalmazást, a támadók emelt szintű jogosultságokhoz juthatnak, és onnan szabad kezet kapnak az adott rendszerben. A csomagot csak a legújabb, 4.6-os .NET-re kell telepíteni.

Aki nem használja az automatikus frissítési szolgáltatást, a csomagokat a Microsoft oldaláról.