Hét javítás jön kedden a Microsofttól
Január 8-án adja ki havonta szokásos frissítéseit a Microsoft, a vállalat weboldalára már felkerült az az előzetes értesítés, amely az üzemeltető szakembereket igazítja el a javítások számával, az érintett szoftverekkel kapcsolatban.
A cég weboldalán közzétett adatok szerint összesen hét javítás érkezik a januári pach kedden, ezek közül kettő foltoz kritikus, távoli kódfuttatásra alkalmas sebezhetőséget, további öt "fontos" besorolást kapott. Ezek részben jogosultságelevációra alkalmas sérülékenységek, de van köztük olyan, amelyet kihasználva megkerülhető az operációs rendszer egyik védelmi vonala, valamint van egy túlterheléses támadásra lehetőséget adó hiba is.
Minden Windows érintett
A Microsoft tájékoztatása szerint a januári patch kedd minden támogatott Windowst érint, a Windows XP-től a Windows 8-ig és RT-ig, beleértve a szerverváltozatokat és a Server Core telepítéseket is - igaz, feltétlenül újraindítani csak a Windows Server 2008 R2 rendszereket kell majd, mivel ezekhez érkezik egy kritikus sebezhetőséget foltozó, telepítés után újraindítást igénylő patch. Érintett még a januári patch kedden az Office 2003 és 2007, amelyekben kritikus sebezhetőséget javítanak, de a Word Viewer és az Office Compatibility Pack is kap javítást - ezek alapján valószínűleg egy dokumentumformátummal kapcsolatos hibáról lehet szó.
A szervereket üzemeltető rendszergazdák nem csak a Windows Server különféle változataihoz érkező javítások miatt kell felkészülten várják a jövő keddet, hanem azért is, mert a tájékoztató szerint kritikus, távoli kódfuttatásra alkalmas sebezhetőséget foltoz a Microsoft a SharePoint Server 2007-ben és a Groove Server 2007-ben - a javítás telepítése újaindítást igényelhet -, illetve a System Center 2007 és 2007 R2 is kap frissítést egy jogosultságkiterjesztést lehetővé tevő hibára. Ez szerencsére nem igényli az újraindítást, derül ki az értesítésből.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
December utolsó napjaiban kritikus sebezhetőséget fedeztek fel az Internet Explorer régebbi (6, 7, 8) változataiban, a böngészőhöz kiadott egy hotfixet a cég, de jövő kedden még nem jön a végleges javítás. Nem tudni, hogy ennek mi az oka, lehet hogy csak nem sikerült a patchet megfelelően tesztelni ennyi idő alatt, de az is elképzelhető, hogy a Microsoft nem találta annyira égetőnek a dolgot.
Török eredetű PKI probléma
Egy másik biztonsági értesítést is kiadott tegnap a Microsoft. A napokban derült fény arra, hogy a török TurkTrust hitelesítésszolgáltatótól jogosulatlan szervek kaptak köztes CA tanúsítványokat, amelyek a Buherablog szerint tetszőleges domainhez tartozó tanúsítvány hamisítását teszik lehetővé. A 2011-ben (!) kiállított tanúsítványok érvényességét a Microsoft is visszavonja, Windows Vista vagy újabb operációs rendszeren a frissítés automatikus, Windows XP-n azonban ezt kézzel kell végrehajtani Windows Update segítségével. A Mozilla és a Google is visszavonta a kérdéses kulcsok érvényességét.