Év végi nagytakarítást rendez a Microsoft
Tizennégy javítást tesz elérhetővé jövő héten a Microsoft a szokásos havi "frissítőkedd" alkalmából. A frissítések közül három tartozik a kritikus kategóriába, tizenegy pedig fontos besorolást kapott.
Tizennégy frissítés érkezik a jövő héten esedékes decemberi patch kedden - jelentette be a Microsoft biztonsági közleménye. Ezzel idén összesen 100 különböző frissítést adott ki a redmondi szoftvercég, ami csupán hattal kevesebb mint tavaly. A Microsoft jövő héten fogja részletesebben tárgyalni termékeinek idei biztonsági teljesítményét, a nyers számok helyett valószínűleg így a kevesebb kritikus sérülékenységre fog hivatkozni, illetve arra, hogy idén nem kellett sürgősségi, az ütemezett patch keddeken kívüli javításokat kiadni.
A december 13-án nyilvánossá váló frissítések közül három kapott "kritikus" besorolást, ezek olyan hibákat jelentenek, amelyek kihasználásához nem kell semmilyen felhasználói interakció. A maradék tizenegy javítás "fontos" besorolást kapott, ezek kihasználásához megfelelő körülmények és felhasználói bizonyos szintű együttműködése is szükséges. Tíz javítás távoli kódfuttatást lehetővé tévő sebezhetőséget foltoz, ezek mellett három jogosultságkiterjesztéses és egy adatszivárgásos hibára érkezik javítás.
A közlemény szerint az összes támogatott Windows-verzió érintett, az egyes számú közlemény ráadásul mindegyik számára kötelező újraindítást is előír - ami kernelszintű hibajavítások esetén szokásos. Az Office esetében hasonlóképpen minden támogatott verzió érintett - így a 2003 (SP3), 2007 (SP2) és a 2010-es (SP1) változat is javításra szorul. Az OS X-et használó felhasználók sem menekülnek, két javítás a 2004-es és 2011-es Office for Macet is foltozza. A közlemény szerint a programcsomag egésze is a javítások alanya, de a Publisher, a PowerPoint és az Excel egyenként is sebezhető.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Az egyes számmal ellátott biztonsági közlemény és a hozzá érkező frissítés minden valószínűséggel a Duqu nevű kártevő kihasznált sebezhetőséget javítja - legalábbis erre utal a sebezhetőség által érintett termékek listája. Mint ismeretes, a Duqu-t a Budapesti Műszaki Egyetem CrySys laborjának munkatársai fedezték fel és írták le először. A kutatás eredményeként derült ki, hogy a Duqu egyes részei rendkívüli hasonlóságot mutatnak a korábban nagy port kavart Stuxnet kódjával. A hasonlóság annyira nagy, hogy a kutatók szerint a véletlenszerűség gyakorlatilag kizárható és kijelenthető, hogy a két kártevő készítői hozzáfértek a másik kódjához.
A másik nagy javítás az SSL 3.0 és TLS 1.0 hibáját javítja. A hagyományosan erősnek számító titkosítási rendszer egy hibája évek óta ismert, mintegy három hónappal ezelőtt azonban kutatóknak sikerült kihasználniuk az eddig elméletinek tartott rést. A BEAST névre keresztelt támadás során bizonyos feltételek együttes teljesülése esetén a titkosítás feltörhető. A különböző böngészők gyártói már foltozták a megfelelő sebezhetőséget, most a Microsoft is előállt a saját, a visszafelé kompatibilitást nem sértő javításával.