Close

10/11/2015

Microsoft opravoval Office, Edge aj Skype, stiahnite si záplaty

Microsoft vydal ďalšiu nádielku bezpečnostných záplat, ktorými opravuje rôzne chyby vo svojich produktoch. Vrátane tých najzávažnejších.

V novembri boli vydané hneď štyri záplaty, ktoré sú označené ako Kritické. Dve z nich sa týkajú internetových prehliadačov.

Problémy v Internet Exploreri aj Edge

Kumulatívna záplata (podrobnejšie informácie vo vestníku Microsoft Security Bulletin MS15-112) rieši kritické problémy v prehliadači Internet Explorer. Útočník môže chyby zneužiť k útoku na nezaplátaný systém napríklad tak, že používateľa navedie k prehliadnutiu špeciálne vytvorenej stránky.

Záplata je označená ako Kritická pre Internet Explorer 7 a vyšší na klientoch Windows. Okrem iného sa ňou upravuje spôsob, akým Internet Explorer, JScript, VBScript aj vybrané funkcie narábajú s objektmi v pamäti.

microsoft_office_edge_skype_oprava_1Ďalšia kumulatívna záplata (Microsoft Security Bulletin MS15-113) sa tentoraz týka produktu Edge, ktorý je pre Microsoft jeho hlavným webovým prehliadačom. Je súčasťou len operačného systému Windows 10, čiže jeho používatelia by mali zbystriť pozornosť. Aj v tomto prípade je možné útočiť na systém pomocou špeciálne upravenej webovej stránky, ktorú používateľ prehliadne s využitím Edge. Útočník následne môže získať rovnaké práva k systému, aké má používateľ.

Tretia Kritická záplata rieši problém, ktorá bol odhalený v Journale v rámci systému Windows. Bezpečnostná chyba na nezaplátanom systéme môže viesť napríklad k spusteniu škodlivého kódu, pokiaľ používateľ otvorí špeciálne upravený súbor Journalu. Záplata je Kritická pre Windows Vista aj 7 – Microsoft Security Bulletin MS15-114.

Posledná Kritická záplata (Microsoft Security Bulletin MS15-115) rieši problémy vo všetkých podporovaných Windows na úrovni jeho jadra (kernelu).

Microsoft plátal aj Office či Skype

Ďalšie novembrové záplaty už majú nižší stupeň (Dôležité), no stále rozhodne stoja aspoň za povšimnutie.

Jedna zo záplat (Microsoft Security Bulletin MS15-116) opravuje hneď viacero problémov odhalených v kancelárskom balíku Office. Typickým scenárom napadnutia systému a zneužitia chyby je otvorenie špeciálne upraveného dokumentu Office. Záplata pokrýva celú paletu generácií balíka, pričom nevynecháva ani Office 2016, Microsoft Excel Viewer či Microsoft Office Web Apps 2013.

Aktualizáciu si vyžiadali aj bezpečnostné problémy v .NET Frameworku – Microsoft Security Bulletin MS15-118, Winsock v rámci všetkých podporovaných Windows – Microsoft Security Bulletin MS15-119, ďalej IPSec – Microsoft Security Bulletin MS15-120 (špeciálne sa majú mať na pozore používatelia platforiem Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 a Windows RT 8.1) či Microsoft Windows NDIS – Microsoft Security Bulletin MS15-117. V tomto prípade sa problém špeciálne týka systémov Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2.

microsoft_office_edge_skype_oprava_2Microsoft vydal ešte tri bezpečnostné záplaty. Jedna sa týka problému v Schannel, ktorý môže viesť k takzvanému spoofingu. Záplata je určená pre všetky Windows s výnimkou najnovšieho Windows 10 – Microsoft Security Bulletin MS15-121.

Nepríjemnou môže byť aj chyba, ktorá umožní obchádzať autentifikáciu Kerberos a dešifrovať disky (jednotky) chránené BitLockerom. Záplatou sa posilňuje systém autentifikácie. Rizikovosť problému podľa Microsoftu znižuje niekoľko faktorov – napríklad sa dá chyba zneužiť len v prípade, že je BitLocker na danom zariadení povolený bez PIN alebo USB kľúča. Dôležitý je aj fyzický prístup útočníka k zariadeniu -Microsoft Security Bulletin MS15-122.

Na neposlednom mieste sa záplata ušla komunikačným riešeniam Skype pre Business 2016, Microsoft Lync 2013 a Microsoft Lync 2010 –  Microsoft Security Bulletin MS15-123. Typickým spôsobom zneužitia chyby môže byť situácia, keď útočník navedie používateľa na IM komunikáciu a odošle mu správu obsahujúcu špeciálne upravený obsah v JavaScripte.

zdroj: zive.sk

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *