Styczniowe biuletyny Microsoftu: 6 krytycznych poprawek

Jak co miesiąc, także w styczniu firma Microsoft wydała swoje biuletyny bezpieczeństwa. W usłudze Windows Update pojawiły się więc nowe aktualizacja dla systemów z rodziny Windows, pakietu Office i innych aplikacji stworzonych przez korporację. Ich instalacja jest zalecana ze względu na łatanie istotnych dla bezpieczeństwa użytkownika dziur. Rzecz jasna nowe paczki aktualizacyjne, które w przypadku Windows 10 nie są dokładnie opisane, mogą dostarczać także nowych funkcji. Co ciekawe, wydane w tym miesiącu aktualizacje podnoszą numer kompilacji stabilnej odsłony wersji desktopowej i zrównują ją z numeracją stosowaną w przypadku testowej edycji mobilnego Windows 10. Warto zaznaczyć, że dodatkowo dziś na emeryturę odchodzą stare wersje Internet Explorera.

Internet Explorer i Microsoft Edge nie są idealne, błędy znaleziono także w innych skłądnikach systemu i pakietu Office.

W styczniu wydano łącznie dziewięć biuletynów bezpieczeństwa, sześć z nich oznaczono najwyższym priorytetem, są to pakiety krytyczne. Każda ze wspieranych wersji systemów Windows ma przynajmniej jedną lukę, w tym miesiącu łatano także pakiet Microsoft Office, serwer Exchange, SharePoint i wtyczkę Silverlight. Dwie pierwsze krytyczne paczki to MS16-001 oraz MS16-002. Są to zbiorcze aktualizacje bezpieczeństwa dla przeglądarek Internet Explorer i Microsoft Edge. W obu przypadkach odnaleziono luki umożliwiające nieautoryzowane wykonywane niebezpiecznego kodu i w efekcie przejęcie uprawnień aktualnie zalogowanego użytkownika. Z tego względu Microsoft po raz kolejny apeluje o korzystanie z kont o standardowych uprawnieniach, zamiast tych przeznaczonych do administracji.

Paczka MS16-003 dotyczy podobnego błędu w silnikach odpowiedzialnych za obsługę JScript i VBSCript. Atakujący może stworzyć specjalnie spreparowaną witrynę, a następnie przekonać ofiarę do jej odwiedzenia. W efekcie infekcji przejmie kontrolę nad komputerem. Także w tym przypadku czynnikiem ograniczającym skutki ataku jest praca na koncie standardowym. Krytyczna jest także aktualizacja MS16-004 dla pakietu Microsoft Office – w tym przypadku konieczne jest wykonanie odpowiednio spreparowanego dokumentu obsługiwanego przez aplikacje wchodzące w jego skład. Łatka usuwa luki, a także poprawia sposób obsługi pamięci i zabezpieczenie przy pomocy techniki ASLR. Microsoft „nie chwali” się tym, ale wygląda na to, że luka ta umożliwiała obejście tego bardzo silnego mechanizmu.

Równie interesująco wygląda aktualizacja MS16-005, choć tu brak szerszego opisu: firma informuje jedynie o możliwości wykonania szkodliwego kodu na poziomie jądra systemowego po odwiedzeniu spreparowanej witryny internetowej. Ostatnia krytyczna paczka została oznaczona jako MS16-006 i rozwiązuje problemy znalezione we wtyczce Silverlight. Choć Microsoft tej technologii już nie rozwija, nadal jest ona wykorzystywana do m.in. świadczenia usług VOD. Pozostałe biuletyny są oznaczone niższymi priorytetami, dotyczą możliwości nieautoryzowanego podniesienia uprawnień, ataku na system Windows i serwery Exchange. Wykonanie takich ataków wiąże się jednak z czasochłonnym działaniem, nie są to więc sprawy priorytetowe. Firma zaktualizowała także Adobe Flash Playera zintegrowanego z Internet Explorerem i Microsoft Edge dostarczając do niego najnowsze poprawki.

Microsoft zmienił numer kompilacji Windows 10, powody nie są znane.

W przypadku Windows 10 instalowana jest jedna, zbiorcza paczka oznaczona numerem KB3124263 – tradycyjnie już i zgodnie z nową polityką informacyjną korporacja nie poinformowała, co takiego zmienia w swoim systemie. Wiadomo natomiast, że zmianie uległa numeracja kompilacji. Po zaktualizowaniu Windows 10 wita nas jako wersja 10586.63, czyli taka sama, jak najnowsza odsłona testowa Windows 10 Mobile udostępniona użytkownikom programu Insider. Skąd właśnie takie oznaczenie? To wiedzą już najprawdopodobniej jedynie pracownicy firmy.