:

Szerző: Voith Hunor

2015. február 11. 12:40

15 éves kritikus hibát javított a Microsoft

Kilenc frissítést adott ki a Microsoft a februári patch-kedden. A biztonsági javítások telepítése nélkül négy hibát távoli kódfuttatásra lehet kihasználni, három közülük kritikus besorolást kapott. Az Internet Explorer böngészőkben összesen 41 sérülékenységet orvosoltak.

Kilenc frissítés érkezett a Microsofttól a februári patch-kedden menetrendszerűen kiadott csomagban. Ezek közül hármat minősített a vállalat kritikusnak, ezek telepítése nélkül a támadók távolról futtathatnak kódot az adott gépeken, az egyik – a Windows Server 2003 óta jelen lévő – sérülékenység pedig teljes hatalomátvételre is lehetőséget biztosít.

A kritikus hibák közül az Internet Explorert érintő (MS15-009-es frissítésben foltozott) a böngésző 7-es verziójától kezdve van jelen, a még támogatott kliens operációs rendszereken, a Vistától az RT 8.1-ig. A Windows Serverek különböző verzióin csak közepes veszélyességűnek ítélt IE hibákat küszöböltek ki. A még tavaly októberben jelzett, Windows 7-es vagy 8.1-es operációs rendszeren futó IE 11-et érintő XSS (cross-site scripting) sérülékenységet a Microsoft egyelőre nem javította – Joey Fowler, a vállalat egyik szoftvermérnöke korábban azt írta, hogy bár a hiba valóban kiaknázható egy támadáshoz, a kivitelezés körülményes. Az IE-t érintő csomagban van még egy érdekesebb komponens, ami megakadályozza IE 11-nél a nem biztonságosnak ítélt SSL 3.0 fallbacket (erről részletesen itt írtunk), a Microsoft pedig az április patch-kedden érkező frissítéssel alapesetben ki is fogja kapcsolni az SSL 3.0-át az IE 11-ben.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Az MS15-010-ben található legfontosabb javítás telepítése a Windows 7, vagy annál újabb operációs (desktop és szerver egyaránt) rendszereken kritikus, mert megakadályozza, hogy a támadók kihasználjanak egy hibát a TrueType betűtípusok kezeléséért felelős rendszerkomponensben.

Windows Server 2003: támogatott, de nem frissül

Az MS15-011 régi adóssága a Microsoftnak, a Windowsokban az XP és a 2000 óta jelen lévő sérülékenységet – ami az Active Directoryval (AD) hálózatba léptetett gépeket érinti, és melynek kihasználásával egy támadó man-in-the-middle típusú támadással teljesen át tudja venni az uralmat az adott számítógép felett – már több mint egy éve jelezték a vállalatnak. Kiküszöböléséhez azonban az érintett részek komoly átdolgozására volt szükség – olyannyira, hogy a vállalat vonatkozó, a problémát részletesen ismertető bejegyzése szerint a 2015 júliusában meghosszabbított támogatását is elveszítő Windows Server 2003-ban nem is javítja ezt a hibát.

“A javítást lehetővé tévő architektúra nem áll rendelkezésre Windows XP-s rendszereken, ezért Windows XP-re, 2000-re és Server 2003-ra célszerűtlen ("impractical") elkészíteni a frissítést. Ehhez nem csak az érintett komponens, de az operációs rendszerek jelentős részének újraírása is szükséges lenne. Egy ilyen módosítást követően pedig nem biztosíthatnánk azt, hogy az operációs rendszerekkel addig kompatibilis alkalmazások továbbra is futtathatóak maradjanak” - áll a hivatalos indoklásban.

A felfedezője (JAS Global Advisors) után JASBUG névre keresztelt sérülékenység a biztonsági szakemberek és a Microsoft szerint is nem implementációs, hanem alapvető szoftvertervezési hiba eredménye - ezért volt szükség ennyi időre a frissítések elkészítéséhez, és ezért nem éri meg a Server 2003 módosítása. A JASBUG kihasználásához az AD két hibája is szükséges, egyikkel az érvényes biztonsági szabályok helyett kevésbé erős policyhoz lehet hozzájutni, a másikkal pedig távolról lehet kódot futtatni az AD-n keresztül az adott doménhez kapcsolódó gépen.

A Microsoft egyúttal az UNC (Universal Naming Convention) Hardened Access képességet is elérhetővé tette, ami a frissítésekkel együtt segít fokozni a kliensgépek és szerverek közötti adatcsere biztonságát. Az új eszköz részletes leírása itt olvasható.

A Microsoft biztonsági nevezéktanában "fontos" besorolású javítások közül kettő az Office-t érinti a 2007-es verziótól felfelé, a maradék négy pedig az operációs rendszerek hibáit foltozza, melyek közül kettő jogosultságemeléses hibát orvosol.

a címlapról