Biuletyny krytyczne

Biuletyn MS15-018 (KB 3032359)

Pierwszy z wydanych w tym miesiącu biuletynów dostarcza zbiorczą aktualizację dla Internet Explorera, która usuwa 12 luk, w tym CVE-2015-0072, znaną jako UXSS (ang. Universal Cross-Site Scripting). Została ona Microsoftowi zgłoszona w październiku 2014 r., a w sieci pojawiły się kody proof of concept pokazujące, jak można ją wykorzystać. W skrócie: atakujący może umieścić na stronie dwa elementy IFrame (jeden w swojej domenie, drugi w domenie atakowanej). Przekierowanie ustawione w pierwszej ramce pozwala ominąć stosowane w IE zabezpieczenia i wykonać atak XSS w kontekście innej domeny.

Omawiana luka występuje w nowszych wersjach Internet Explorera (9, 10 i 11). Aktualizacja usuwa też inne błędy umożliwiające podniesienie uprawnień bądź uszkodzenie pamięci, dlatego powinni ją zainstalować użytkownicy wszystkich wydań tej przeglądarki. Warto to zrobić, nawet jeżeli na co dzień nie korzystamy z IE. Jego silnik renderujący został tak zaprojektowany, aby twórcy oprogramowania mogli dodawać funkcjonalność przeglądarki do swoich własnych aplikacji i niektórzy tej opcji używają. Ignorując poprawki, narażamy się na atak.

(szczegółowe informacje)

Biuletyn MS15-019 (KB 3040297)

Następny z marcowych biuletynów dotyczy silnika skryptów VBScript (podatne wersje to 5.6, 5.7 i 5.8). Usuwany błąd pozwala na zdalne wykonanie kodu, jeśli użytkownik odwiedzi specjalnie spreparowaną stronę internetową. Osoba atakująca, której uda się wykorzystać lukę, może uzyskać uprawnienia aktualnie zalogowanego użytkownika. Jeśli będzie on pracować na koncie administratora, atakujący przejmie pełną kontrolę nad systemem, otrzymując możliwość instalowania dowolnych programów, przeglądania, edytowania i usuwania danych, a także tworzenia nowych kont z pełnymi uprawnieniami. Poprawka jest przeznaczona dla systemów Windows Vista oraz Windows Server 2003 i 2008.

(szczegółowe informacje)

Biuletyn MS15-020 (KB 3041836)

W styczniu br. Michael Heerklotz odkrył sposób na ominięcie ograniczeń związanych z obsługą skrótów (.lnk). W systemie Windows ikony plików LNK są ładowane z plików Panelu sterowania (.cpl), które de facto są bibliotekami DLL. Dopóki Microsoft nie przygotował poprawki MS10-046, atakujący mógł wskazać jako źródło ikony podrzuconą do systemu złośliwą bibliotekę - błąd ten z sukcesem wykorzystali twórcy niesławnego Stuxnetu. Po pięciu latach od wydania aktualizacji programiści Microsoftu musieli opracować kolejną. Jest ona przeznaczona dla wszystkich wersji Windowsa i łata w sumie dwie luki pozwalające na zdalne wykonanie kodu.

(szczegółowe informacje)

Biuletyn MS15-021 (KB 3032323)

Kolejny biuletyn oznaczony jako krytyczny usuwa 8 luk związanych z obsługą czcionek Adobe w systemie Windows. Większość z nich pozwala na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną zawartość - osoba atakująca może wówczas uzyskać pełną kontrolę nad systemem. Na atak podatne są wszystkie wersje Windowsa.

(szczegółowe informacje)

Biuletyn MS15-022 (KB 3038999)

Ten z kolei biuletyn likwiduje 5 luk w pakiecie Microsoft Office. Najpoważniejsze z nich umożliwiają zdalne wykonanie złośliwego kodu, jeśli użytkownik otworzy odpowiednio spreparowany plik. Atakujący może w takim przypadku uzyskać uprawnienia aktualnie zalogowanego użytkownika. W związku z tym osoby, których konta zostały skonfigurowane tak, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż te, które pracują z uprawnieniami administracyjnymi. Aktualizację powinni zainstalować użytkownicy oprogramowania: Microsoft Office 2007, 2010, 2013 i 2013 RT, Microsoft Word Viewer, Microsoft Excel Viewer, Microsoft Office Compatibility Pack, Microsoft Office Web Apps 2010 i 2013 oraz Microsoft SharePoint Server 2007, 2010 i 2013.

(szczegółowe informacje)

Biuletyny ważne

Biuletyn MS15-023 (KB 3034344)

Następny biuletyn został oznaczony jako ważny. Dostarcza on poprawki usuwające 4 błędy w sterownikach trybu jądra. Umożliwiają one podniesienie poziomu uprawnień - aby do tego doszło, atakujący musi zalogować się w podatnym systemie i uruchomić specjalnie spreparowaną aplikację. Problem występuje we wszystkich wersjach systemu Windows, zarówno klienckich, jak i serwerowych.

(szczegółowe informacje)

Biuletyn MS15-024 (KB 3035132)

Kolejny biuletyn eliminuje lukę związaną z przetwarzaniem grafiki w formacie PNG. Usuwany błąd pozwala na ujawnienie informacji, jeśli atakującemu uda się przekonać ofiarę, by odwiedziła stronę z odpowiednio przygotowaną zawartością. Aktualizacja jest przeznaczona dla użytkowników wszystkich wersji Windowsa.

(szczegółowe informacje)

Biuletyn MS15-025 (KB 3038680)

Ten natomiast biuletyn likwiduje dwa błędy w jądrze systemu. Pozwalają one na podniesienie poziomu uprawnień, jeśli atakującemu uda się zalogować i uruchomić specjalnie spreparowaną aplikację. Uzyska on wówczas możliwość instalowania dowolnych programów, przeglądania, edytowania i usuwania danych, a także tworzenia nowych kont z pełnymi uprawnieniami. Również tę poprawkę powinni zainstalować użytkownicy wszystkich wersji Windowsa.

(szczegółowe informacje)

Biuletyn MS15-026 (KB 3040856)

Zadaniem tej aktualizacji jest przeciwdziałanie atakom XSS (ang. cross-site scripting), które - w uproszczeniu - polegają na wprowadzeniu złośliwego kodu w oryginalną treść strony internetowej. Na tego typu ataki podatny jest Microsoft Exchange Server 2013. Omawiany biuletyn usuwa 5 luk. Najpoważniejsza z nich pozwala na podniesienie poziomu uprawnień, jeśli użytkownik kliknie w specjalnie spreparowany link prowadzący do strony Outlook Web App.

(szczegółowe informacje)

Biuletyn MS15-027 (KB 3002657)

Wraz z kolejnym biuletynem dostarczana jest poprawka, która usuwa błąd w zabezpieczeniach usługi Netlogon. Umożliwia on spoofing, czyli fałszowanie pakietów danych przy użyciu specjalnie spreparowanej aplikacji. Na atak podatne są wszystkie serwerowe wersje systemu Windows (2003, 2008, 2008 R2, 2012 oraz 2012 R2).

(szczegółowe informacje)

Biuletyn MS15-028 (KB 3030377)

Następny biuletyn likwiduje lukę w zabezpieczeniach harmonogramu zadań (ang. task scheduler). Pozwala ona atakującemu uruchamiać pliki wykonywalne, omijając ACL, czyli listę kontroli dostępu. Aktualizację powinni zainstalować użytkownicy wszystkich wersji Windowsa z wyjątkiem najstarszej Visty i towarzyszącego jej wydania serwerowego (2003).

(szczegółowe informacje)

Biuletyn MS15-029 (KB 3035126)

Ten z kolei biuletyn usuwa lukę w programie Windows Photo Decoder. Pozwala ona na ujawnienie informacji, jeśli atakującemu uda się przekonać ofiarę, by odwiedziła stronę zawierającą odpowiednio przygotowaną grafikę w formacie JPEG XR (.jxr). Nie da się poprzez tę lukę zdalnie uruchomić kodu, ale można ją wykorzystać w połączeniu z innym błędem, który na to pozwala. Załatania wymagają wszystkie wersje systemu Windows prócz najstarszej serwerowej (2003).

(szczegółowe informacje)

Biuletyn MS15-030 (KB 3039976)

Kolejny biuletyn likwiduje usterkę w zabezpieczeniach protokołu RDP (ang. Remote Desktop Protocol). Jest to jedyny z usuwanych w tym miesiącu błędów, który umożliwia przeprowadzenie ataku typu odmowa usługi (ang. Denial of Service, DoS). Warto odnotować, że RDP nie jest domyślnie włączony w żadnym systemie operacyjnym Microsoftu. Poprawka jest przeznaczona dla systemów Windows 7, 8 i 8.1 oraz Windows Server 2012 i 2012 R2.

(szczegółowe informacje)

Biuletyn MS15-031 (KB 3046049)

Ostatni z wydanych w tym miesiącu biuletynów łata lukę znaną jako FREAK (z ang. Factoring Attack on RSA-EXPORT Keys). Występuje ona w implementacji SSL/TLS i pozwala przełamać mechanizmy szyfrowania pomiędzy klientem a serwerem za pomocą ataku man in the middle. Na atak podatne są aplikacje wykorzystujące bibliotekę Schannel, w tym przeglądarka Internet Explorer. Aktualizację powinni zainstalować użytkownicy wszystkich wersji Windowsa.

(szczegółowe informacje)

Czytaj także: Nowa porcja poprawek od Adobe już dostępna