Masszív a februári patch-kedd
Szokásos menetrend szerint érkezett a februári javítócsomag a különböző Microsoft szoftverekhez.
Több, mint 50 különböző sebezhetőséget javít a Microsoft frissen kiadott februári javítócsomagja. Az érintett szoftverek között az összes támogatott Windows-kiadás, az Office, az Internet Explorer is megtalálható - ebben nincs különösebb eltérés a szokásostól. Lássuk a kiemelkedő hibákat!
JavaScript-motor
A hónap egyik sláger-sebezhetősége a Windows ChakraCore nevű JavaScript-motorjában található, ez hajtja az Internet Explorer és az Edge böngészők mellett például az Outlookot is. Ez távoli kódfuttatásra ad lehetőséget a támadónak, ha valahogyan rá tudja venni a felhasználót, hogy megnézzen egy megfelelően preparált weboldalt (vagy Outlookban egy emailt).
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
Az Outlook emellett egy másik, jogosultságemelésre használható hibára is kapott javítást. Ez sokkal izgalmasabb (legalábbis működését tekintve), ugyanis míg a JS-hibához meg kell jeleníteni az üzenetet legalább előnézet formájában, a jogosultságemeléses támadáshoz elegendő elküldeni a levelet. A támadó ugyanis rá tudja venni az Outlookot, hogy pusztán az üzenet beérkezésekor SMB-n keresztül betöltse az üzenettárolót (message store), ezzel elérve a célját.
Flash a para
A javítócsomag immár hagyományosan tartalmazza az Adobe Flash-hez érkező biztonsági frissítéseket is - ez egy ideje a Windows platform része, a Microsoft pedig saját hatáskörben (de nyilván az Adobe-bal közösen) adja ki hozzá a javításokat. A friss körbe bekerült egy komoly Flash-sebezhetőség javítása is, ez attól különleges, hogy az összes hibától eltérően aktív támadás alatt áll, így mindenképp érdemes sürgősen telepíteni.
Nem csak biztonság
Ahogy az új Microsoft-paradigmában szokás, az egységes javítócsomag a biztonsági javítások mellett rengeteg ponton nyúl hozzá a Windows 10 rendszerhez és javít egyéb, nem biztonsági jellegű hibákat is. Olyan apróságokról van szó, mint a gyerek-fiókok InPrivate böngészése, vagy egyes hardveres konfigurációknál a DirectX játékok nem szándékos FPS-limitje, vagy épp az Alt-Shift billentyűzetnyelv-váltás késleltetése. Hosszabb lista a Windows Centralon.
A sebezhetőségek részletesebb elemzése a ZDI oldalán is olvasható.