Listopadowe biuletyny Microsoftu to m.in. 4 krytyczne poprawki
Zgodnie z przyjętym cyklem wydawniczym, firma Microsoft wydała najnowsze biuletyny zabezpieczeń i inne aktualizacje dla swojego oprogramowania. Wszystkie nowe poprawki znaleźć można już w usłudze Windows Update i na większości komputerów, które korzystają z domyślnych ustawień, zostaną one zainstalowane w pełni automatycznie. W tym miesiącu wydano kilka biuletynów oznaczonych jako krytyczne, które w głównej mierze łatają błędy związane z możliwością zdalnego wykonania nieautoryzowanego kodu na komputerze ofiary.
Internet Explorer i Edge podatne na atak.
Najważniejsza jest paczka oznaczona numerem MS15-112, która stanowi zbiorczą paczkę poprawek dla przeglądarki Internet Explorer. Błędy odnalezione w tej aplikacji umożliwiają stworzenie specjalnie spreparowanej strony. Jeżeli atakujący nakłoni ofiarę do jej odwiedzenia, będzie w stanie uzyskać te same uprawnienia co aktualnie zalogowany użytkownik. Podobnie wygląda paczka MS15-113, została ona jednak przygotowana z myślą o nowej przeglądarce Microsoft Edge. Choć ta aplikacja została pozbawiona wsparcia dla niektórych nieco archaicznych rozwiązań internetowych, podobnie jak inne oprogramowanie zawiera własne błędy i również jest narażona na ataki.
Kolejne krytyczne błędy są naprawiane przez paczkę MS15-114, która dotyczy wbudowanego w system programu Windows Journal. Nie jest on zbyt popularny i wiele osób nie zdaje sobie nawet sprawy z jego istnienia. Program służy do tworzenia notatek i jeżeli użytkownik otworzy odpowiednio spreparowany plik przez niego obsługiwany, atakujący będzie w stanie wykonać zdalnie własny kod i zdobyć uprawnienia użytkownika. Odpowiednie rozszerzenia są obsługiwane automatycznie, ofiara nawet nie musi zdawać sobie sprawy z tego, że uruchamia pliki notatnika. Ostatni krytyczny błąd o oznaczeniu MS15-115 dotyczy jądra systemu Windows – odpowiednio spreparowana witryna lub plik umożliwiają wykonanie niebezpiecznego kodu, a następnie przejęcie kontroli nad komputerem. We wszystkich tych wypadkach możliwości ataku i ewentualne szkody można znacznie ograniczyć przez pracę na koncie ze standardowymi uprawnieniami. Domyślnie wykorzystywane uprawnienia administracyjne to po prostu proszenie się o dodatkowe kłopoty.
Oprócz tego w Windows Update znajdziemy także inne biuletyny związane z bezpieczeństwem, ale dotyczące innych produktów firmy i z niższym priorytetem. Dotyczą one m.in. dziury w pakiecie Microsoft Office, podatności odnalezionej w Windows NDIS, platformie Microsoft .NET Framework, a także IPSec. Poprawki zabezpieczają przed możliwością podsłuchiwania transmisji sieciowej (atak typu man-in-the-middle), obchodzeniem autoryzacji z użyciem protokołu Kerberos, a także atakiem na biznesową edycję komunikatora Skype i oprogramowanie Microsoft Lync. Inne z poprawek są związane z dziurami wykrytymi w Adobe Flash Playerze zintegrowanym z przeglądarkami Internet Explorer i Edge, a także hypervisorem Hyper-V. W związku z tym, iż wydane aktualizacje dotyczą przede wszystkim bezpieczeństwa, zalecamy ich jak najszybsze zainstalowanie – dotyczy to przede wszystkim tych komputerów, na których użytkownik pracuje z uprawnieniami administratora.
Windows 10 Threshold 2 pojawi się już jutro?
Wśród wydanych aktualizacji nie znajdziemy jeszcze paczki Threshold 2 dla systemu Windows 10, ta pojawi się najprawdopodobniej jutro. Zamiast tego Microsoft wydał tzw. zbiorczą paczkę aktualizacji i nie wydał dokładnego opisu zmian, jaki ona wprowadza. Jest to zgodne z przyjętą przez korporację polityką informacyjną: dokładne opisy zmian mają być publikowane tylko w przypadku bardzo istotnych paczek, które wprowadzają także nowe funkcje do systemu operacyjnego. Tego typu dziennik zmian zapewne pojawi się wraz ze wspomnianą nową wersją Windows 10.