[vc_row][vc_column width=”2/3″][vc_wp_text]

[xyz-ips snippet=”metadatatitle”]

 

[/vc_wp_text][/vc_column][vc_column width=”1/3″][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

A Microsoft novemberi hibajavító keddjén minden jelenleg támogatott Windows kiadás frissült, beleértve a Windows 8-at is. Mindezek mellett az Internet Explorer, az IIS és az Excel is megvált néhány sebezhetőségtől.

A Microsoft az előzetes terveiben már tett említést arról, hogy a novemberi hibajavító kedden érkező frissítésekből immár a Windows 8-nak is ki fog jutni. A cég tartotta magát az ígéretéhez, ami egyben azt is jelenti, hogy a Windows 8 bekapcsolódott az évek óta megszokott frissítési ciklusba, és a hibajavító keddek egyik fontos szereplőjévé vált. Oly annyira, hogy a legújabb operációs rendszer máris több, kritikus veszélyességű sebezhetőségtől szabadult meg.

A Microsoft összesen hat biztonsági közleményt tett elérhetővé, amelyek közül négy kapott kritikus veszélyességi besorolást, míg a maradék két közlemény fontos minősítést érdemelt ki. A Windows operációs rendszer különféle verziói mellett az Office, az Internet Explorer valamint a .Net keretrendszer is frissült. A legveszélyesebb sérülékenységekről ezúttal is elmondható, hogy azok kihasználásával jogosulatlan távoli kódfuttatásra, műveletvégrehajtásra, és egyes esetekben akár az érintett rendszerek feletti irányítás teljes átvételére is lehetőség nyílhat.

Kritikus biztonsági hibák a Windows-ban

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/microsoft_6.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/microsoft_6.jpg” align=”center” /]

A Microsoft a Windows operációs rendszereihez két biztonsági közleményt adott ki. Ezek közül az első a könyvtárak és fájlok szinkronizálására használt Táska (Briefcase) funkcionalitást érinti. A fejlesztők szerint létre lehet hozni olyan táskákat, amelyek megnyitásakor puffertúlcsordulási hiba léphet fel. Ez pedig jogosulatlan kódfuttatást segíthet elő a támadók számára, akik – az éppen rendszerbe bejelentkezett felhasználó jogosultságainak függvényében – akár teljes mértékben átvehetik a számítógépek feletti irányítást. Hasonló kockázatokat rejtő sérülékenységekről lehet olvasni a Microsoft Windows-hoz kiadott második biztonsági közleményében is. Ez azonban kernelmódú driverek hibáival kapcsolatos problémákról számol be. A megjelent hibajavítások a Win32k (Win32k.sys) és a TrueType betűtípusok feldolgozása kapcsán szüntetnek meg sebezhetőségeket. A frissítések telepítésére a Windows XP/Vista, a Windows 7, a Windows 8, a Windows Server 2003/2008 és a Windows Server 2012 esetében is szükség van.

Internet Explorer frissítés

A Microsoft webböngészője kapcsán ezúttal három, kritikus veszélyességű sebezhetőség megszüntetésére volt szükség. A cég tájékoztatása szerint a biztonsági rések többnyire objektum- valamint memóriakezelési rendellenességekre vezethetők vissza, és speciálisan szerkesztett weboldalak megtekintésekor okozhatnak problémákat. A támadók a böngészőt futtató felhasználó jogosultsági szintjének megfelelően hajthatnak végre különféle műveleteket. A sérülékenységek kizárólag az Internet Explorer 9-es kiadását érintik, így a többi verzió frissítésére most nincs szükség.

Excel foltozás

A Microsoft ebben a hónapban sem hanyagolta el az Office szoftvercsomagját, hiszen ahhoz is letölthetővé tett frissítéseket. Ezek mindegyike az Excel alkalmazást érinti, és a telepítésükkel összesen négy sebezhetőségnek lehet búcsút inteni. A biztonsági hibák többsége memóriakezelési hiányosságokra vezethető vissza, és speciálisan szerkesztett Excel állományok megnyitásakor okozhatnak problémát. Ekkor ugyanis a támadóknak jogosulatlan kódfuttatásra is lehetőségük nyílhat. A fejlesztők szerint ezúttal az Office 2003, az Office 2007 valamint az Office 2010 szoftvercsomagokhoz tartozó Excel szoftverek valamint az Excel Viewer frissítésére kell figyelmet fordítani.

.Net hibajavítások

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/microsoft_2.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/microsoft_2.jpg” align=”center” /]

A .Net keretrendszerhez egy kritikus veszélyességű sebezhetőségekről beszámoló közlemény jelent meg, amely összesen öt biztonsági résről ad tájékoztatást. A hibák érintik többek között a web proxy támogatást, a WPF-et és a DLL-kezelést is. A Microsoft szerint a sérülékenységek a rendszereken jogosulatlan távoli kódfuttatásra adódhatnak lehetőséget. Ehhez a támadóknak vagy speciálisan összeállított, proxy-khoz tartozó konfigurációs fájlokat kell közzétenniük, vagy különféle kódbefecskendezésre épülő támadásokat kell végrehajtaniuk. A sérülékenységek a .Net 1.0, 1.1, 2.0, 3.5.1, 4 és 4.5 esetében is kimutathatóak voltak, így ezek frissítésére érdemes mihamarabb sort keríteni.

Két patch az IIS-hez

A novemberi hibajavító kedden a Microsoft az Internet Information Services (IIS) kapcsán is kiadott két hibajavítást. Ezek közül az egyik egy olyan sebezhetőséget orvosol, amely eddig naplóállományokhoz való jogosulatlan hozzáférést tehetett lehetővé. A másik patch pedig az FTP szolgáltatáson foltoz be egy biztonsági rést, és a titkosított adatátvitelt teszi megbízhatóbbá. A két frissítést az IIS 7.0 valamint az IIS 7.5 esetében szükséges telepíteni.

Forrás: biztonsagportal.hu

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_wp_text][xyz-ips snippet=”metadatatime”]

[/vc_wp_text][/vc_column][/vc_row]

Pin It on Pinterest