Jak Microsoft rozbawił ekspertów i przysporzył zmartwień użytkownikom, czyli świeży pakiet zabezpieczeń

15-01-2015, 13:53

Zacznijmy od wiadomości mniej radosnych: 13 stycznia Microsoft zakończył okres podstawowego wsparcia technicznego dla systemu Windows 7. Od tego momentu przez najbliższe pięć lat jego użytkownicy mogą liczyć wyłącznie na poprawki zabezpieczeń, powinni jednak zapomnieć o wprowadzeniu nowych funkcji, z których będą mogli skorzystać posiadacze „ósemki” i potencjalni nabywcy „dziesiątki”.

Wirtualne pulpity, asystent głosowy Cortana, natywne wsparcie dla nowych kodeków multimedialnych, tworzona właśnie przeglądarka o nazwie kodowej Spartan - żadnego z tych rozwiązań w Windowsie 7 prawdopodobnie nie uświadczymy, informuje serwis dobreprogramyGracze z kolei nie będą w stanie na tym systemie skorzystać z DirectX 12, który według teoretycznych zapowiedzi ma wprowadzić nie tylko nową jakość, ale także znacznie mniejsze wymagania - pisze Łukasz Tkacz.

Do 14 stycznia 2020 roku Microsoft będzie uwzględniać ten system w wydawanych co miesiąc aktualizacjach zabezpieczeń. Po tym czasie - jeśli wsparcie dodatkowe nie zostanie wydłużone, jak to było w przypadku Windowsa XP - będziemy mogli odesłać do lamusa również „siódemkę”.

Inna, niezbyt miła dla użytkowników wiadomość dotyczy wprowadzenia opłat za dostarczanie zapowiedzi biuletynów bezpieczeństwa (Advance Notification Service) w tygodniu poprzedzającym ich publikację. Dotychczas mógł się z nimi zapoznać każdy zainteresowany. Administratorzy firmowych sieci mogli dzięki temu odpowiednio zaplanować wdrożenie poprawek.

Z nadejściem nowego roku Microsoft zmienił podejście - wcześniejsze powiadomienia o aktualizacjach będą teraz trafiać wyłącznie do organizacji, które za to zapłacą bądź biorą udział w programie partnerskim MAPP (Microsoft Active Protections Program). Pozostałym użytkownikom Windowsa producent radzi korzystać z myBulletins.

Należy w tym celu zalogować się na stronie usługi przy użyciu Konta Microsoftu i wybrać system, którego łatkami jesteśmy zainteresowani. W panelu powinniśmy wtedy zobaczyć wszystkie niezbędne informacje na temat dostępnych aktualizacji. Można je filtrować według takich parametrów, jak data, ważność czy konieczność restartu maszyny po zainstalowaniu poprawki. Wybrane przez użytkownika dane mogą zostać zapisane do pliku.

Przyjrzyjmy się teraz styczniowym aktualizacjom zabezpieczeń. Gigant z Redmond załatał w tym miesiącu 8 luk, każdej poświęcając odrębny biuletyn.

Biuletyny krytyczne

Biuletyn MS15-002 (KB 3020393)

Jedyna poprawka oznaczona jako krytyczna wywołała konsternację wśród ekspertów, rozśmieszając co poniektórych. Usuwa ona bowiem lukę w serwerze Telnet. Lukę - i owszem - groźną, bo pozwalającą na zdalne wykonanie dowolnego kodu poprzez przesłanie odpowiednio spreparowanych pakietów. Microsoft sugeruje wdrożenie poprawki użytkownikom wszystkich wersji Windowsa. Szkopuł w tym, że w większości z nich Telnet nie jest domyślnie zainstalowany, a jeśli jest, to raczej nie będzie domyślnie uruchomiony. Jak pisze Paul Ducklin na blogu Naked Security firmy Sophos, jeśli ktoś używa tej przestarzałej technologii, to ma dużo większe problemy niż potencjalne wykorzystanie łatanej w styczniu luki.

(szczegółowe informacje)

Biuletyny ważne

Biuletyn MS15-001 (KB 3023266)

To jeden z najważniejszych biuletynów tego miesiąca. Dotyczy on luki wykrytej w ramach Google Project Zero. Zgłoszono ją Microsoftowi pod koniec września ubiegłego roku, dając 90 dni na załatanie. Skutkiem braku reakcji na zgłoszenie było upublicznienie szczegółowych informacji o luce wraz z przykładowym kodem proof-of-concept. Wywołało to kolejną dyskusję na temat odpowiedzialnego ujawniania (ang. responsible disclosure). Niektórzy uważają, że pracownicy Google'a powinni byli zaczekać, aż Microsoft przygotuje stosowną poprawkę. Z drugiej strony - gigant z Redmond dostał przecież trzy miesiące i nie zwrócił się do ekspertów z prośbą o wydłużenie tego okresu.

Co do samej luki to pozwala ona atakującemu uzyskać uprawnienia administratora. Błąd znaleziono w systemowej funkcji NtApphelpCacheControl, która przechowuje dane o kompatybilności aplikacji na potrzeby szybkiego uruchamiania nowych procesów w pamięci podręcznej. Zgłoszenie dotyczyło Windowsa 8.1, ale Microsoft przygotował poprawki dla wszystkich wspieranych wersji systemu.

(szczegółowe informacje)

Biuletyn MS15-003 (KB 3021674)

Również ta aktualizacja dotyczy luki wykrytej przez pracowników Google'a - doleli oni oliwy do ognia, upubliczniając szczegóły zaledwie dwa dni przed wydaniem biuletynów zabezpieczeń (tak samo jak w omówionym wyżej przypadku i tu od zgłoszenia luki minęło 90 dni). Spotkało się to oczywiście z ostrą krytyką ze strony Microsoftu. To, co jest dobre dla Google'a, nie zawsze jest dobre dla konsumentów - napisał na firmowym blogu Chris Betz. Ta luka również umożliwia podniesienie uprawnień, jeśli atakujący zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację. Wydana aktualizacja obejmuje wszystkie wersje systemu Windows.

(szczegółowe informacje)

Biuletyn MS15-004 (KB 3025421)

Kolejny z biuletynów Microsoftu usuwa lukę w zabezpieczeniach usług terminalowych zapewniających zdalny dostęp do Windowsa. Usterka znaleziona w komponencie WebProxy pozwala na podniesienie uprawnień, jeśli atakujący przekona użytkownika do uruchomienia specjalnie spreparowanej aplikacji. Może on wówczas przejąć pełną kontrolę nad systemem, uzyskując możliwość instalowania dowolnych programów, przeglądania, edytowania i usuwania danych, a także tworzenia nowych kont z pełnymi uprawnieniami. Poprawka jest przeznaczona dla wszystkich wersji Windowsa.

(szczegółowe informacje)

Biuletyn MS15-005 (KB 3022777)

Następny biuletyn oznaczony jako ważny usuwa błąd w podsystemie Network Location Awareness. Luka umożliwia atakującemu obejście zabezpieczeń, jeśli uda mu się dostać do tej samej sieci co ofiara i sfałszować odpowiedzi DNS na zainicjowany przez nią ruch. Aktualizację powinni zainstalować użytkownicy wszystkich wersji systemu Windows.

(szczegółowe informacje)

Biuletyn MS15-006 (KB 3004365)

Ten z kolei biuletyn dotyczy systemowego mechanizmu zgłaszania błędów (ang. Windows Error Reporting). Usuwana podatność pozwala atakującemu obejść zabezpieczenia i uzyskać dostęp do pamięci uruchomionego procesu. Osoby, których konta zostały skonfigurowane tak, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż te, które pracują z uprawnieniami administracyjnymi. Poprawkę należy zainstalować w systemach Windows 8 i 8.1, Windows Server 2012 i 2012 R2, a także Windows RT i RT 8.1.

(szczegółowe informacje)

Biuletyn MS15-007 (KB 3014029)

Aktualizacja dostarczana z tym biuletynem likwiduje lukę w implementacji usługi RADIUS, która odpowiada za zdalne uwierzytelnianie użytkowników. Znaleziona usterka pozwala na przeprowadzenie ataku typu odmowa usługi (ang. Denial of Service, DoS) na Network Policy Server. Na atak podatne są wszystkie serwerowe wersje systemu Windows.

(szczegółowe informacje)

Biuletyn MS15-008 (KB 3019215)

Ostatni z udostępnionych w tym miesiącu biuletynów dostarcza poprawkę, która zapobiega wykorzystaniu luki w sterownikach trybu jądra. Umożliwia ona podniesienie poziomu uprawnień - aby do tego doszło, atakujący musi zalogować się w podatnym systemie i uruchomić specjalnie spreparowaną aplikację. Problem występuje we wszystkich wersjach systemu Windows, zarówno klienckich, jak i serwerowych.

(szczegółowe informacje)

Czytaj także: Adobe łata 9 luk we Flash Playerze


Źródło: Microsoft, ISC, Sophos, Google
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031