Grudniowe biuletyny Microsoftu: 8 krytycznych poprawek
Jak co miesiąc, także i w grudniu Microsoft wydał nowe biuletyny zabezpieczeń. Paczki opublikowane w usłudze Windows Update naprawiają znalezione błędy i luki bezpieczeństwa. Część z nich oznaczono jako krytyczne, instalacja jest więc wysoce zalecana. Dzięki tego typu poprawkom dostarczanym nawet dla nieco archaicznych już wersji systemu i oprogramowania w nim zawartego (np. Windows Vista), użytkownicy mogą wciąż z nich korzystać – paczki wydane w tym miesiącu są przeznaczone dla wszystkich wspieranych systemów, każdy z nich jest podatny na atak jakiegoś typu. Rzecz jasna aktualizacje nie ochronią nas np. przed wirusami, a także błędami popełnianymi przez samych, nieostrożnych użytkowników.
Przeglądarki to wciąż najbardziej zagrożone aplikacje.
W tym miesiącu aż osiem biuletynów oznaczono jako krytyczne. Pierwszy z nich, MS15-124 to zestaw poprawek dla przeglądarki Internet Explorer. Choć Microsoft promuje Edge, IE jest wciąż wykorzystywane, przede wszystkim w środowiskach korporacyjnych. Znalezione luki umożliwiają zdobycie uprawnień aktualnie zalogowanego użytkownika, dotyczą natomiast obsługi VBScript, ataków XSS i obsługi typów zawartości stron internetowych. Druga krytyczna paczka, MS15-125 to podobny zestaw przygotowany z myślą o Edge. Poprawia ona implementację mechanizmu ASLR, system uprawnień, a także przechowywanie obiektów w pamięci.
Aktualizacja MS15-126 dotyczy silnika obsługującego JScript i VBScript – odpowiednio spreparowane strony umożliwiały zdobycie uprawnień aktualnie zalogowanego użytkownika i zdalne wykonywanie nieautoryzowanego kodu. Dziury znaleziono również w samym systemie i obsłudze DNS, za ich załatanie odpowiada paczka MS15-127. Microsoft od dłuższego czasu poprawia również moduł Microsoft Graphics Component wykorzystywany w wielu aplikacjach i platformach jak choćby .NET Framework, Office czy Skype dla biznesu. W tym miesiącu odpowiada za niego aktualizacja MS15-128. Także powoli wycofywany ze stron internetowych Silverlight okazał się dziurawy - MS15-129 łata ataki umożliwiające wykonanie niebezpiecznego kodu przez specjalnie zmodyfikowaną aplikację lub stronę internetową korzystającą z tej technologii.
MS15-130 to łatka blokująca możliwość podobnego ataku przy użyciu spreparowanych dokumentów lub stron internetowych zawierających spreparowane fonty. Ostatnia krytyczka paczka, MS15-131, łata podatności znalezione w pakiecie Microsoft Office. Również i tutaj chodzi o możliwość wykonywania niebezpiecznego kodu i przejmowanie uprawnień. Wszystkie te przykłady pokazują dobitnie, że zalecenia Microsoftu nie biorą się z kosmosu: o ile to możliwe, powinniśmy pracować na kontach standardowych zamiast administratora. W razie jakiegokolwiek ataku oznacza to znacznie mniejsze szkody lub nawet całkowite ich zablokowanie. W przypadku Windows 10 opublikowano zbiorczą paczkę ze wszystkimi aktualizacjami. Co ciekawe, podnosi ona numer kompilacji systemu do numeru 10586.29, takiego samego, jaki występuje obecnie w przypadku mobilnej odsłony Windows 10.
Microsoft odwołał certyfikat dla domeny usługi Xbox Live.
W Windows Update pojawiły się także dodatkowe biuletyny o niższych priorytetach. Dotyczą one poprawek w m.in. Windows Media Center, antywirusie Windows Defender, a także kernelu systemowym. Firma wycofała także jeden z certyfikatów typu wildcard wykorzystywanych do obsługi domeny xboxlive.com. Wynika to z tego, iż w wyniku błędu ujawniono jego klucz prywatny, co umożliwiało wykorzystanie certyfikatu i adresu do ataków man in the middle. Jest mało prawdopodobne, aby ktoś próbował go wykorzystać po odwołaniu, niemniej niezaktualizowane systemy są wciąż narażone na atak.