Masszív a februári patch-kedd
Szokásos menetrend szerint érkezett a februári javítócsomag a különböző Microsoft szoftverekhez.
Több, mint 50 különböző sebezhetőséget javít a Microsoft frissen kiadott februári javítócsomagja. Az érintett szoftverek között az összes támogatott Windows-kiadás, az Office, az Internet Explorer is megtalálható - ebben nincs különösebb eltérés a szokásostól. Lássuk a kiemelkedő hibákat!
JavaScript-motor
A hónap egyik sláger-sebezhetősége a Windows ChakraCore nevű JavaScript-motorjában található, ez hajtja az Internet Explorer és az Edge böngészők mellett például az Outlookot is. Ez távoli kódfuttatásra ad lehetőséget a támadónak, ha valahogyan rá tudja venni a felhasználót, hogy megnézzen egy megfelelően preparált weboldalt (vagy Outlookban egy emailt).
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
Az Outlook emellett egy másik, jogosultságemelésre használható hibára is kapott javítást. Ez sokkal izgalmasabb (legalábbis működését tekintve), ugyanis míg a JS-hibához meg kell jeleníteni az üzenetet legalább előnézet formájában, a jogosultságemeléses támadáshoz elegendő elküldeni a levelet. A támadó ugyanis rá tudja venni az Outlookot, hogy pusztán az üzenet beérkezésekor SMB-n keresztül betöltse az üzenettárolót (message store), ezzel elérve a célját.
Flash a para
A javítócsomag immár hagyományosan tartalmazza az Adobe Flash-hez érkező biztonsági frissítéseket is - ez egy ideje a Windows platform része, a Microsoft pedig saját hatáskörben (de nyilván az Adobe-bal közösen) adja ki hozzá a javításokat. A friss körbe bekerült egy komoly Flash-sebezhetőség javítása is, ez attól különleges, hogy az összes hibától eltérően aktív támadás alatt áll, így mindenképp érdemes sürgősen telepíteni.
Nem csak biztonság
Ahogy az új Microsoft-paradigmában szokás, az egységes javítócsomag a biztonsági javítások mellett rengeteg ponton nyúl hozzá a Windows 10 rendszerhez és javít egyéb, nem biztonsági jellegű hibákat is. Olyan apróságokról van szó, mint a gyerek-fiókok InPrivate böngészése, vagy egyes hardveres konfigurációknál a DirectX játékok nem szándékos FPS-limitje, vagy épp az Alt-Shift billentyűzetnyelv-váltás késleltetése. Hosszabb lista a Windows Centralon.
A sebezhetőségek részletesebb elemzése a ZDI oldalán is olvasható.