A redmondi szoftvercé már a múlt héten jelezte, hogy az év utolsó hibajavító keddje igencsak mozgalmas lesz. Oly annyira, hogy az egy napon kiadott biztonsági közlemények száma rekordot fog dönteni. A cég tartotta magát az ígéretéhez, és nem kevesebb, mint 17 tájékoztatót adott ki. Ezzel túlszárnyalta az eddig csúcsot, amely az októberi, tizenhat közlemény kiadásához fűződik.
Az elmúlt években az volt megfigyelhető, hogy a Microsoft decemberben visszafogottabban kezelte a hibajavításokat. Ez abból a szempontból volt előnyös - különösen a vállalati és intézményi felhasználók számára -, hogy az év végi zárásokat, szabadságolásokat nem annyira érintették hátrányosan a frissítések. Nyilvánvaló azonban, hogy a Microsoftnak a hibákat minél előbb orvosolnia kell, hiszen biztonsági szempontból ez kritikus fontosságú. Viszont Andrew Storms, az nCircle Security biztonsági igazgatója szerint sok vállalat már csak jövőre fogja telepíteni a mostani patch-eket.
A decemberi frissítések a Windows, az Internet Explorer, az Office, a SharePoint és az Exchange esetében szüntetnek meg sérülékenységeket. A tizenhét biztonsági közlemény közül ezúttal mindössze kettő kapott kritikus veszélyességi besorolást. A Microsoft a fennmaradó 14 közleményt fontos, míg az utolsót mérsékelt besorolással látta el. Ugyanakkor meg kell jegyezni, hogy legalább tíz olyan sebezhetőség megszüntetésére került sor, amelyek valamilyen úton-módon lehetőséget biztosíthatnak kártékony kódok jogosulatlan távoli futtatására.
Windows
A decemberi hibajavító kedd középpontjában egyértelműen a Windows állt. Az operációs rendszerhez ugyanis tizenkét biztonsági közlemény vált elérhetővé, amelyek kritikus és fontos veszélyességi besorolással ellátott sérülékenységekről adnak tájékoztatást. A Microsoft az alábbi összetevők esetében szüntetett meg különböző mértékű kockázatot jelentő sebezhetőségeket:
- OpenType Font (OTF) driver (kritikus)
- Feladatütemező (fontos)
- Windows Movie Maker (fontos)
- Windows Media Encoder (fontos)
- BranchCache (fontos)
- Windows Címjegyzék (fontos)
- Internet csatlakozás varázsló (fontos)
- Kernelmódú driverek kezelése (fontos)
- Routing and Remote Access NDProxy (fontos)
- Consent User Interface UAC (fontos)
- Windows Netlogon szolgáltatás (fontos)
- Hyper-V VMBus (fontos)
A sérülékenységek összességében a jelenleg támogatott Windows verziók mindegyikét érintik, így a Windows 7 valamint a Windows Server 2008 R2 is frissítésre szorul.
Internet Explorer
Az MS10-090-es közlemény keretében a Microsoft hét olyan sebezhetőségről számolt be, amelyek az Internet Explorer 6-os, 7-es és 8-as verzióit is érintik. A cég tájékoztatása szerint a böngészőben olyan hibák kerültek megszüntetésre, amelyek HTML-feldolgozási és domainkezelési rendellenességekre vezethetők vissza. A kritikus veszélyességű sérülékenységek elsősorban speciálisan szerkesztett weboldalak révén válhatnak kihasználhatóvá, és a támadók számára jogosulatlan távoli kódfuttatást valamint rendszerhozzáférést tehetnek lehetővé.
Office
Az Office szoftvercsomaghoz tartozó alkalmazások számos képkezelési sebezhetőséget rejtenek. A Microsoft MS10-105-ös közleménye alapján elmondható, hogy a sérülékenységek akkor okozhatnak problémát, amikor a felhasználó CGM, PICT, TIFF vagy FlashPix állományokat, illetve ilyen formátumú képeket tartalmazó Office dokumentumokat nyit meg. Ekkor ugyanis puffertúlcsordulási hiba léphet fel, aminek következtében kártékony kódok is lefuthatnak. A biztonsági rések miatt az Office XP, az Office 2003, az Office 2007 és az Office 2010 frissítésére is szükség van.
A Microsoft a képkezelési rendellenességek mellett öt olyan sebezhetőségről is hírt adott az MS10-103-as közleményének keretében, amelyek szintén puffertúlcsordulási problémák miatt merültek fel, és speciálisan szerkesztett Publisher állományok megnyitásakor járulhatnak hozzá károkozáshoz. E sérülékenységek az összes jelenleg támogatott, Windows kompatibilis Office szoftvercsomagot, illetve Publisher szoftvert érintik.
SharePoint
A Microsoft az Office SharePoint Server 2007 esetében egy olyan sérülékenységet orvosolt, amely akkor okozhat biztonsági problémákat, ha az adott kiszolgálón a Document Conversions Launcher Service (illetve a Document Conversions Load Balancer Service) is fut. Ekkor ugyanis egyes SOAP-kérések feldolgozásakor hiba jelentkezhet, ami tetszőleges kódok futtatását segítheti elő. A cég MS10-104-es közleménye szerint a sebezhetőség kockázatát csökkenti, hogy az említett két szolgáltatás alapértelmezetten nem fut a szervereken.
Exchange
Az Exchange Server 2007 SP2 kapcsán egy mérsékelt veszélyességi besorolással ellátott hibára derült fény, amelyet a Microsoft az MS10-106-os közleményének keretében kiadott patch-ekkel szüntetett meg. A sérülékenység alapvetően szolgáltatásmegtagadási támadásokhoz járulhat hozzá, és egyes Exchange szolgáltatások összeomlását idézheti elő, amelyek manuális újraindítására is szükség lehet a helyreállításhoz. A sebezhetőség speciálisan összeállított RPC-hívások révén válhat kihasználhatóvá. A Microsoft jelezte, hogy a biztonsági rést csak azon támadók tudják a saját javukra fordítani, akik előbb hozzáférési jogosultságot szereznek az érintett szerverekhez.
A Microsoft hibajavításai az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a cég weboldalairól tölthetők le. További technikai információk az Isidor Biztonsági Központ weblapjain olvashatók.
A cikk testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.