Zgłoś błąd

X

Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.

Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国

Grudniowe biuletyny Microsoftu: 8 krytycznych poprawek

LukasAMD | 09-12-2015 10:46 |

Windows UpdateJak co miesiąc, także i w grudniu Microsoft wydał nowe biuletyny zabezpieczeń. Paczki opublikowane w usłudze Windows Update naprawiają znalezione błędy i luki bezpieczeństwa. Część z nich oznaczono jako krytyczne, instalacja jest więc wysoce zalecana. Dzięki tego typu poprawkom dostarczanym nawet dla nieco archaicznych już wersji systemu i oprogramowania w nim zawartego (np. Windows Vista), użytkownicy mogą wciąż z nich korzystać – paczki wydane w tym miesiącu są przeznaczone dla wszystkich wspieranych systemów, każdy z nich jest podatny na atak jakiegoś typu. Rzecz jasna aktualizacje nie ochronią nas np. przed wirusami, a także błędami popełnianymi przez samych, nieostrożnych użytkowników.

Przeglądarki to wciąż najbardziej zagrożone aplikacje.

W tym miesiącu aż osiem biuletynów oznaczono jako krytyczne. Pierwszy z nich, MS15-124 to zestaw poprawek dla przeglądarki Internet Explorer. Choć Microsoft promuje Edge, IE jest wciąż wykorzystywane, przede wszystkim w środowiskach korporacyjnych. Znalezione luki umożliwiają zdobycie uprawnień aktualnie zalogowanego użytkownika, dotyczą natomiast obsługi VBScript, ataków XSS i obsługi typów zawartości stron internetowych. Druga krytyczna paczka, MS15-125 to podobny zestaw przygotowany z myślą o Edge. Poprawia ona implementację mechanizmu ASLR, system uprawnień, a także przechowywanie obiektów w pamięci.

Windows Update

Aktualizacja MS15-126 dotyczy silnika obsługującego JScript i VBScript – odpowiednio spreparowane strony umożliwiały zdobycie uprawnień aktualnie zalogowanego użytkownika i zdalne wykonywanie nieautoryzowanego kodu. Dziury znaleziono również w samym systemie i obsłudze DNS, za ich załatanie odpowiada paczka MS15-127. Microsoft od dłuższego czasu poprawia również moduł Microsoft Graphics Component wykorzystywany w wielu aplikacjach i platformach jak choćby .NET Framework, Office czy Skype dla biznesu. W tym miesiącu odpowiada za niego aktualizacja MS15-128. Także powoli wycofywany ze stron internetowych Silverlight okazał się dziurawy - MS15-129 łata ataki umożliwiające wykonanie niebezpiecznego kodu przez specjalnie zmodyfikowaną aplikację lub stronę internetową korzystającą z tej technologii.

MS15-130 to łatka blokująca możliwość podobnego ataku przy użyciu spreparowanych dokumentów lub stron internetowych zawierających spreparowane fonty. Ostatnia krytyczka paczka, MS15-131, łata podatności znalezione w pakiecie Microsoft Office. Również i tutaj chodzi o możliwość wykonywania niebezpiecznego kodu i przejmowanie uprawnień. Wszystkie te przykłady pokazują dobitnie, że zalecenia Microsoftu nie biorą się z kosmosu: o ile to możliwe, powinniśmy pracować na kontach standardowych zamiast administratora. W razie jakiegokolwiek ataku oznacza to znacznie mniejsze szkody lub nawet całkowite ich zablokowanie. W przypadku Windows 10 opublikowano zbiorczą paczkę ze wszystkimi aktualizacjami. Co ciekawe, podnosi ona numer kompilacji systemu do numeru 10586.29, takiego samego, jaki występuje obecnie w przypadku mobilnej odsłony Windows 10.

Microsoft odwołał certyfikat dla domeny usługi Xbox Live.

W Windows Update pojawiły się także dodatkowe biuletyny o niższych priorytetach. Dotyczą one poprawek w m.in. Windows Media Center, antywirusie Windows Defender, a także kernelu systemowym. Firma wycofała także jeden z certyfikatów typu wildcard wykorzystywanych do obsługi domeny xboxlive.com. Wynika to z tego, iż w wyniku błędu ujawniono jego klucz prywatny, co umożliwiało wykorzystanie certyfikatu i adresu do ataków man in the middle. Jest mało prawdopodobne, aby ktoś próbował go wykorzystać po odwołaniu, niemniej niezaktualizowane systemy są wciąż narażone na atak.

Źródło: Microsoft
0
Zgłoś błąd
Łukasz Tkacz
Liczba komentarzy: 6

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.