Nem kap több rendszeres frissítést a Windows Server 2003
Lejárt a Windows Server 2003 SP2 meghosszabbított támogatási időszaka, az operációs rendszerhez a Microsoft utoljára július 14-én adott ki rendszeres, általánosan elérhető biztonsági frissítéseket. A vállalat legalább két, a Hacking Teamtől kikerült információhalmazból kiderített sérülékenységet is foltozott a júliusi patch-kedd keretében. A 14 javítás összesen 59 sérülékenységet – számos kritikus besorolásút is – orvosol.
Az Adobe után a Microsoft is kiadta a Hacking Teamtől kikerült adatokból biztonsági szakértők által eddig megtalált sérülékenységek javításait, természetesen egyéb más foltokkal együtt a szokásos patch-keddig csomagban. A vállalat összesen 14 összesített javítást adott ki, ezek közül négy kiritikus, (azaz a felhasználó további beavatkozása nélkül lehet kihasználásukkal távolról kódot futtatni), egyet pedig (MS15-058) júniusról halasztott mostanra a redmondi cég – ez az SQL Server hibáit javítja.
A legtöbb (29) sérülékenységet az MS15-065 foltozza be az Internet Explorer 6-tól 11-ig terjedő verzióiban, Windows Server 2003 SP2 és Vista SP2-től a legfrissebb Microsoft operációs rendszerekig bezárólag. Ezek között legalább kettő olyan nulladi napi hiba van, melyekre a közelmúltban feltört olasz kémszoftver-fejlesztő cégtől kilopott 400 gigabájtnyi adat vizsgálata során derült fény. A CVE-2015-2387-es számú, jogosultságemeléses sérülékenységgel kapcsolatban a vállalat már múlt héten jelezte, hogy a javítással megvárja az esedékes keddig biztonsági frissítőcsomagot.
A másik, CVE-2015-2425 számúhoz pedig érdekes háttértörténet kapcsolódik. A hibát a Vectra Networks biztonsági cég szakértői ásták elő a Hacking Team levelezéséből, valaki ugyanis megpróbálta nekik eladni az információt. A levélváltás alapján az erre alapuló támadás nem mindig működött, és egyelőre nincs arra utaló jel, hogy a Haccking Team megvásárolta és később felhasználta volna. A kizárólag az Internet Explorer 11-et érintő kritikus memóriakorrupciós bugot mindenesetre gyorsan javította a Microsoft.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A további három kritikus összesített hibajavítás a VBScript Scripting Engine, a Remote Desktop Protocol és a Hyper-V távoli kódfuttatásra kihasználható sérülékenységeit orvosolja. A fontos besorolású javítások közül egy vonatkozik az Office-ra (2007-2013 és Excel Services on SharePoint Server 2007-2013), a többi pedig a különböző Windowsok jogosultságemeléses hibáit foltozza.
A HP egyik biztonsági szakértője, Dustin Childs szerint az MS15-065, -070 és -077-es összesített hibajavítások által foltozott sérülékenységeket támadók aktívan kihasználják, ezért azok telepítése a lehető leggyorsabban javasolt.
Since @msftsecresponse made it hard to find,let me help: 3 bulletins (MS15-065, -070, -077) have active attacks http://t.co/qHImNDfitT
- Dustin Childs (@dustin_childs) July 14, 2015
Viszlát, Windows Server 2003 támogatás!
A kritikus hibajavítások mellett egyben fontos mérföldkő is a júliusi patch-kedd, ugyanis ez volt az utolsó, amelyben a Windows Server 2003 SP2 még kapott rendszeres biztonsági frissítéseket. A Microsoft július 14-e után már csak egyedi szerződések alapján, meglehetősen borsos áron biztosít további támogatást. Egy Microsoft licencekkel foglalkozó tanácsadócég szakértője szerint az összeg szerverenként évente 600 dollár, ami háromszorosa a tavaly nyugdíjazott Windows XP esetében felszámoltnak, és már annak időn túli támogatásáért is dollármilliókat fizettek a nagyobb vállalatok és kormányzati intézmények.
Ez az ár egyértelmű jelzés a még mindig Windows Server 2003-at futtatók felé, hogy a redmondi vállalat minél előbb szeretné, ha az érintett szervereket legalább az operációs rendszer 2008-as változatára, vagy esetleg annál is újabb verzióra frissítenék – bár az extra terméktámogatásból származó bevétel minden bizonnyal legalább több tízmillió dollárra fog rúgni.
Július 14-e kapcsán még egy dologról érdemes megemlékezni a Windows kapcsán: ezzel a nappal megszűnt a Security Essentials XP-támogatása, és a Microsoft a Malicious Software Removal Toolhoz sem fog kiadni többé frissítéseket a világszinten még mindig 12 százalék körüli részesedéssel bíró operációs rendszerre.