Két frissítést is visszavont a Microsoft
Két problémás frissítést is visszavont a decemberi patch kedd után a Microsoft. A gyökértanúsítványok frissítése és az Exchange Server javítása is fut még egy kört a cég minőségbiztosítási részlegén.
Nem törte meg a hagyományokat a Microsoft, a rendszerint kevés frissítést hozó december most hét javítással érkezett, amelyek összesen 24 különböző sebezhetőséget foltoznak. A hónap egyik sztárja az Internet Explorerhez érkezett javítócsomag, amely egymagában 11 kritikus és három "fontos" besorolású sebezhetőséget javít ki a Microsoft böngészőjében. A sérülékenységek a böngésző változatos részeit érintik, így van a biztonságot gyengítő ASLR-hiba vagy a scripteket rossz biztonsági kontextussal futtatását lehetővé tévő sebezhetőség is - ezek önmaguknak nem, csupán más hibákkal kombinálva végzetesek. A kritikus hibák közül 10 a böngésző memóriakezelését érinti, a sebezhetőséget kihasználva a támadók távoli kódfuttatást érhetnek el a megcélzott számítógépen.
Két kritikus frissítést kapott a Word, mindkettő a szövegszerkesztő memóriakezelésében található problémát javít. A kritikus besorolásnak megfelelően ezek a sebezhetőségek is távoli kódfuttatást tesznek lehetővé a támadó számára, a felhasználó teljes megkerülésével. A Windows grafikus alrendszerében található hiba információszerzést tesz lehetővé - ezt is most javította a Microsoft. A JPEG képek memóriában történő feldolgozása során olyan parancsok adhatóak a Microsoft Graphics Componentnek, amelyek révén feltérképezhető a memóriában tárolt adatok struktúrája, ez pedig más támadásokhoz felhasználható (önmagában azonban nem veszélyes).
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Az Exchange Server javítása egy "mérsékelt" és három "fontos" besorolású sebezhetőséget orvosol, ezek közül három az Outlook Web Access működésében található. A webes felület XSS (cross site scripting) sebezhetősége révén a támadók a felhasználó biztonsági környezetében futtathatnak scripteket, egy hiba pedig a tokenek validációs algoritmusát érinti.
A frissítések listája és részletes leírása, illetve az érintett termékek felsorolása a Microsoft oldalán érhető el.
Javított javítás
Sajnos lassan a hibás frissítések is kezdenek hagyománnyá válni. A Microsoft minőségellenőrzésén augusztusban is átcsúszott egy problémás javítás, amely egyes gépeknél kékhalált idézett elő, októberben pedig egyenesen négy frissítéssel akadtak problémák. Most is akadt két problémás javítás, a fent említettek közül az Exchange Server frissítését vonta vissza a Microsoft, az érintett az Exchange Server 2010 SP3, a telepítést követően fennáll a veszélye, hogy a kliensek nem tudnak csatlakozni a szerverhez. A cég a felhasználóknak a telepítés elhalasztását javasolja, a már telepített javításokat pedig érdemes lehet sürgősen eltávolítani.
Szintén problémásnak bizonyult a KB3004394 számmal rendelkező frissítés, amely a Windows Root Certificate Programban részt vevő, megbízhatónak minősített gyökértanúsítványok listáját frissíti. A Windows 7 SP1 és a Windows Server 2008 R2 SP1 esetében azonban a frissítés nem várt következményekkel jár, nem megbízhatónak minősíti például az AMD és NVIDIA meghajtók frissítéseit, de a Windows Update működésében is zavarokat idéz elő. A frissítést a Microsoft már visszavonta, az érintett két rendszerről érdemes kézzel eltávolítani azt.