Biuletyny krytyczne

Biuletyn MS15-009 (KB 3034682)

W ubiegłym miesiącu Microsoft nie wydał poprawek dla Internet Explorera, w lutym nadrobił to z nawiązką, usuwając 41 luk. Najpoważniejsze z nich umożliwiają zdalne wykonanie dowolnego kodu i występują we wszystkich wersjach przeglądarki - od przestarzałej „szóstki” (wciąż jeszcze używanej w systemie Windows Server 2003) po „jedenastkę” udostępnioną z Windowsem 8.1.

Ekspertów ds. bezpieczeństwa to nie zadowala, wciąż niezałatana pozostaje bowiem luka CVE-2015-0072, znana jako UXSS (ang. Universal Cross-Site Scripting). Umożliwia ona przeprowadzenie ataku XSS w kontekście dowolnej domeny w najnowszych wersjach Internet Explorera i została zgłoszona Microsoftowi w połowie października 2014 r. W sieci dostępne są już kody proof of concept pokazujące, jak można wykorzystać tę lukę. W takiej sytuacji - mimo zainstalowania wszystkich poprawek - nie zaleca się używać IE, dopóki producent nie usunie problemu.

(szczegółowe informacje)

Biuletyn MS15-010 (KB 3036220)

Kolejny z wydanych w tym miesiącu biuletynów zapobiega wykorzystaniu 6 błędów w sterownikach trybu jądra. Aktualizację powinni zainstalować użytkownicy wszystkich wersji systemu Windows. Na szczególną uwagę zasługuje luka oznaczona jako CVE-2015-0057. Okazało się bowiem, że zmieniając tylko jeden bit w module odpowiedzialnym za paski przewijania wyświetlane w interfejsie systemowym, można doprowadzić do przepełnienia bufora i przejąć kontrolę nad dowolną wersją Windowsa. Sposób wykorzystania tej luki został opisany na blogu Breaking Malware.

Warto także wspomnieć o luce CVE-2015-0010, wykrytej w ramach Google Project Zero i zgłoszonej Microsoftowi w październiku 2014 r. Gigant z Redmond nie pofatygował się jej załatać w ciągu 90 dni, eksperci upublicznili więc stosowny kod proof of concept. Wywołało to kolejną dyskusję na temat odpowiedzialnego ujawniania (ang. responsible disclosure). Sama luka występuje w funkcji CryptProtectMemory, która pozwala programistom szyfrować wrażliwe obszary pamięci ich aplikacji. Wadliwa implementacja tej funkcji w pliku CNG.sys umożliwia odszyfrowanie przechwyconych informacji innych użytkowników.

(szczegółowe informacje)

Biuletyn MS15-011 (KB 3000483)

Następna aktualizacja krytyczna poprawia konfigurację zasad grupy (ang. Group Policy), usuwając lukę CVE-2015-0008 obecną w systemach Windows od 15 lat. Firma JAS Global Advisors, która ją odkryła, nadała jej nazwę Jasbug. Luka pozwala atakującemu na zdalne wykonanie kodu i w efekcie przejęcie kontroli nad każdą wersją Windowsa, której użytkownik łączy się z firmową siecią za pomocą usługi Active Directory. Załatanie błędu nie było proste, gdyż występuje on nie w implementacji, a w samych założeniach projektowych. Aktualizacja jest przeznaczona dla wszystkich wersji systemu.

(szczegółowe informacje)

Gajus / Shutterstock

Biuletyny ważne

Biuletyn MS15-012 (KB 3032328)

Z oznaczeniem tego biuletynu eksperci nie do końca się zgadzają - choć Microsoft nadał mu status ważnego, według ISC jest to aktualizacja krytyczna (przynajmniej w przypadku klienckich wersji Windowsa). Wszystkie 3 usuwane luki pozwalają na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik za pomocą podatnej wersji Worda lub Excela. Błędy znaleziono w oprogramowaniu Microsoft Office 2007, 2010 i 2013, Microsoft Word Viewer, Microsoft Excel Viewer oraz Microsoft Office Compatibility Pack Service.

(szczegółowe informacje)

Biuletyn MS15-013 (KB 3033857)

Również ten biuletyn usuwa lukę w oprogramowaniu Microsoft Office. W tym przypadku otwarcie specjalnie spreparowanego pliku umożliwia atakującemu ominięcie systemowych mechanizmów zabezpieczeń. Nie da się poprzez tę lukę zdalnie uruchomić kodu, ale można ją wykorzystać w połączeniu z innym błędem, który na to pozwala. Aktualizacją powinni zainteresować się użytkownicy pakietu Microsoft Office 2007, 2010 i 2013.

(szczegółowe informacje)

Biuletyn MS15-014 (KB 3004361)

Ten biuletyn usuwa lukę CVE-2015-0009, która może zostać wykorzystana w tandemie z błędem łatanym przez biuletyn MS15-011. Atakujący może dzięki nim przeprowadzić atak MiTM (ang. man in the middle) i przejąć kontrolę nad podatnym systemem Windows. Może do tego dojść, jeśli wadliwie skonfigurowany serwer DNS nie pobierze ustawień bezpieczeństwa z serwera domenowego i zastosuje domyślne, potencjalnie mniej bezpieczne. Poprawkę powinni zainstalować użytkownicy wszystkich wersji Windowsa.

(szczegółowe informacje)

Biuletyn MS15-015 (KB 3031432)

Kolejny biuletyn likwiduje błąd, który pozwala na podniesienie uprawnień w systemie Windows podczas tworzenia nowego procesu. Atakujący, któremu uda się wykorzystać lukę, może przejąć pełną kontrolę nad systemem, uzyskując możliwość instalowania dowolnych programów, przeglądania, edytowania i usuwania danych, a także tworzenia nowych kont z pełnymi uprawnieniami. Poprawka jest przeznaczona dla systemów: Windows 7, 8 i 8.1, Windows Server 2008 R2, 2012 i 2012 R2, Windows RT i RT 8.1.

(szczegółowe informacje)

Biuletyn MS15-016 (KB 3029944)

Z następnym biuletynem dostarczana jest poprawka, która naprawia podatność w komponencie odpowiedzialnym za obsługę grafiki w systemie Windows. Jej wykorzystanie może spowodować wyciek informacji, jeśli atakowany otworzy specjalnie przygotowany obraz TIFF. Błąd znaleziono we wszystkich wersjach Windowsa.

(szczegółowe informacje)

Biuletyn MS15-017 (KB 3035898)

Ostatni z opublikowanych w lutym biuletynów usuwa lukę w programie Virtual Machine Manager (VMM). Umożliwia ona podniesienie uprawnień, jeśli atakującemu uda się zdobyć poprawne poświadczenia Active Directory. Błąd występuje tylko w wersji 2012 R2 Update Rollup 4.

(szczegółowe informacje)

Czytaj także: Jak Microsoft rozbawił ekspertów i przysporzył zmartwień użytkownikom, czyli świeży pakiet zabezpieczeń