Két frissítést is visszavont a Microsoft
Két problémás frissítést is visszavont a decemberi patch kedd után a Microsoft. A gyökértanúsítványok frissítése és az Exchange Server javítása is fut még egy kört a cég minőségbiztosítási részlegén.
Nem törte meg a hagyományokat a Microsoft, a rendszerint kevés frissítést hozó december most hét javítással érkezett, amelyek összesen 24 különböző sebezhetőséget foltoznak. A hónap egyik sztárja az Internet Explorerhez érkezett javítócsomag, amely egymagában 11 kritikus és három "fontos" besorolású sebezhetőséget javít ki a Microsoft böngészőjében. A sérülékenységek a böngésző változatos részeit érintik, így van a biztonságot gyengítő ASLR-hiba vagy a scripteket rossz biztonsági kontextussal futtatását lehetővé tévő sebezhetőség is - ezek önmaguknak nem, csupán más hibákkal kombinálva végzetesek. A kritikus hibák közül 10 a böngésző memóriakezelését érinti, a sebezhetőséget kihasználva a támadók távoli kódfuttatást érhetnek el a megcélzott számítógépen.
Két kritikus frissítést kapott a Word, mindkettő a szövegszerkesztő memóriakezelésében található problémát javít. A kritikus besorolásnak megfelelően ezek a sebezhetőségek is távoli kódfuttatást tesznek lehetővé a támadó számára, a felhasználó teljes megkerülésével. A Windows grafikus alrendszerében található hiba információszerzést tesz lehetővé - ezt is most javította a Microsoft. A JPEG képek memóriában történő feldolgozása során olyan parancsok adhatóak a Microsoft Graphics Componentnek, amelyek révén feltérképezhető a memóriában tárolt adatok struktúrája, ez pedig más támadásokhoz felhasználható (önmagában azonban nem veszélyes).
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
Az Exchange Server javítása egy "mérsékelt" és három "fontos" besorolású sebezhetőséget orvosol, ezek közül három az Outlook Web Access működésében található. A webes felület XSS (cross site scripting) sebezhetősége révén a támadók a felhasználó biztonsági környezetében futtathatnak scripteket, egy hiba pedig a tokenek validációs algoritmusát érinti.
A frissítések listája és részletes leírása, illetve az érintett termékek felsorolása a Microsoft oldalán érhető el.
Javított javítás
Sajnos lassan a hibás frissítések is kezdenek hagyománnyá válni. A Microsoft minőségellenőrzésén augusztusban is átcsúszott egy problémás javítás, amely egyes gépeknél kékhalált idézett elő, októberben pedig egyenesen négy frissítéssel akadtak problémák. Most is akadt két problémás javítás, a fent említettek közül az Exchange Server frissítését vonta vissza a Microsoft, az érintett az Exchange Server 2010 SP3, a telepítést követően fennáll a veszélye, hogy a kliensek nem tudnak csatlakozni a szerverhez. A cég a felhasználóknak a telepítés elhalasztását javasolja, a már telepített javításokat pedig érdemes lehet sürgősen eltávolítani.
Szintén problémásnak bizonyult a KB3004394 számmal rendelkező frissítés, amely a Windows Root Certificate Programban részt vevő, megbízhatónak minősített gyökértanúsítványok listáját frissíti. A Windows 7 SP1 és a Windows Server 2008 R2 SP1 esetében azonban a frissítés nem várt következményekkel jár, nem megbízhatónak minősíti például az AMD és NVIDIA meghajtók frissítéseit, de a Windows Update működésében is zavarokat idéz elő. A frissítést a Microsoft már visszavonta, az érintett két rendszerről érdemes kézzel eltávolítani azt.