Vzhledem k tomu, že rok 2016 téměř dosáhl svého odchodu, vydala společnost Microsoft svůj poslední „Patch Tuesday„Aktualizace pro daný rok. Tato aktualizace má zdaleka nejvyšší počet bezpečnostních aktualizací vydaných v jedné aktualizaci. Obsahuje šest kritických oprav, přičemž zbývajících šest je hodnoceno jako důležité. Pokrylo 34 jednotlivých nedostatků, z nichž všechny, pokud by byly zneužity, by mohly vést ke vzdálenému spuštění kódu. Připravte se na restart. Je příznivé nezdržovat zavedení těchto oprav. Vzhledem k tomu, že tři z nich řeší zranitelná místa, která byla zveřejněna.
Kritické nedostatky jsou vysvětleny v bulletinech MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 a MS16-154. Říká se, že překonávají náchylnost v systémech Windows, Internet Explorer, Edge a Office. Přesněji řečeno, problémům, kterým uživatelé Windows 10 čelili při připojování k internetu po poslední vlně oprav vydaných společností Microsoft.
Označeno jako „kritické“:
MS16-144
MS16-144 je vydán k řešení nepřeberného množství chyb v aplikaci Internet Explorer. Opravuje také několik závad, které mají tendenci způsobovat úniky informací a ty, které by mohly vést k porušení informací v knihovně objektů hypertextových odkazů systému Windows. Tato oprava bude součástí prosincové měsíční aktualizace zabezpečení pro Windows.
Zde jsou veřejně zveřejňované nedostatky
- CVE-2016-7282 - chyba zabezpečení týkající se zpřístupnění informací v prohlížeči Microsoft.
- CVE-2016-7281 - obejít chybu funkce zabezpečení prohlížeče Microsoft.
- CVE-2016-7202 - anomálie poškození paměti skriptovacího stroje.
Tato aktualizace byla hodnocena jako „Patch Now“, hlavně kvůli závažnosti problému, který je určen k opravě. MS16-144 bude aplikován na všechny aktuálně podporované verze IE.
MS16-145
MS16-145 opraví několik nahlášených chyb v „novém a vylepšeném“ prohlížeči Microsoft Edge. Počet hlášených závad je překvapivě ještě větší než v případě aplikace Internet Explorer, která je cenzována 11 chybami. MS16-145 řeší tyto kritické problémy.
- Pět obvyklých skriptovacích vad motoru.
- Dvě chyby poškození paměti.
- Bypass funkce zabezpečení.
MS16-146
MS16-146 má tendenci opravovat kritická zranitelná místa vzdáleného spuštění kódu v Microsoft Graphics Component Windows. Kromě toho opravuje chybu ve zveřejnění informací o GDI systému Windows. Všechny tyto chyby zabezpečení jsou soukromě hlášeny. Oprava má nahradit aktualizaci grafických komponent z minulého měsíce pro všechny Windows 10 a Server 2016 systémy.
Je to také druhá oprava pro Windows Security Only nebo „souhrnnou“ aktualizaci pro tento měsíc.
MS16-147
MS16-147 je vydáván výhradně k řešení přetrvávající odpovědnosti ve Windows Uniscribe. O této chybě se říká, že započala scénář vzdáleného spuštění kódu. To je -li uživatelé navštíví speciálně vytvořený web nebo otevřou speciálně vytvořený dokument. Je to určitě něco, co nevidíme každý měsíc.
Pro ty, kteří to nevědí, je komponenta Uniscribe kolekce API, která jsou určena pro zpracování typografie ve Windows pro různé jazyky.
MS16-148
The MS16-148 je vydán k řešení mnoha zranitelných míst vzdáleného spuštění kódu. 16 soukromě zapsaných nedostatků v Microsoft Office přetrvává. Závažnost závad lze určit podle skutečnosti, že pokud nebudou opraveny, mohou vést k scénáři vzdáleného spuštění kódu v cílovém systému. Zde je seznam závad:
- Čtyři chyby poškození paměti.
- Problém s bočním načítáním Office OLE DLL.
- Chyba, která odhaluje kritické informace GDI spolu s několika dalšími.
MS16-154
The MS16-154 patch je obal a napravuje zásadní chyby ve vestavěném přehrávači Adobe Flash Player. Pokud není ponechán bez opravy, jedná se o potenciálně nejnebezpečnější problém. Říká se, že opravuje 17 problémů, včetně jedné chyby, která aktuálně běží ve volné přírodě. Společnost Microsoft překvapivě navrhla pro tento problém polehčující faktor. Je to úžasné, protože společnost to obvykle nikdy nedělá. Řešením je úplně odinstalovat Flash.
Byly přijaty zprávy týkající se chyby zabezpečení nulového dne, která dokázala ohrozit 32bitové systémy Internet Explorer. Toto je kritická aktualizace „Patch Now“.
Řeší:
- Čtyři chyby přetečení vyrovnávací paměti.
- Pět problémů s poškozením paměti, které by mohly způsobit vzdálené spuštění kódu.
Označeno jako „důležité“:
MS16-149
Oprava je vydána za účelem vyřešení dvou soukromě hlášených problémů ve Windows.
- Chyba odhalení kryptoměn Windows, která zahrnuje zacházení s objekty v paměti.
- Chyba, která vede ke zvýšení oprávnění v Součást kryptografie Windowst.
MS16-149 bude přidán do souhrnu zabezpečení tohoto měsíce.
MS16-150
Toto je aktualizace zabezpečení pro jedinou chybu zabezpečení, která byla nahlášena soukromě. MS16-150 jde o přetrvávající problém jádra Windows, který by mohl ohrozit uživatelská oprávnění. Je to způsobeno hlavně nesprávnou manipulací s objekty v paměti.
MS16-151
MS16-151 pokusí se opravit několik drobných chyb. Každý soukromě nahlásil a odhaduje se, že způsobí minimální škodu. Jeden souvisí s chybou Win32k EoP Windows jádro ovladače režimu. Druhým problémem, který řeší, je grafická součást systému Windows, nesprávná manipulace s objekty v paměti.
MS16-152
MS16-152 je bezpečnostní oprava pro Windows jádro a má za cíl řešit výhradní odpovědnost. Jedná se o soukromě hlášenou chybu zabezpečení v systému Windows Windows jádro která se týká pouze systémů Windows 10 a Server 2016. O chybě je známo, že v nejhorším případě zpřístupňuje informace. Tato oprava bude součástí měsíčního souhrnu Windows.
Tato oprava řeší jedinou závadu v odhalení informací, která byla také soukromě uvedena. Chyba přetrvává v podsystému ovladačů Windows a je spuštěna aktualizací systému CLFS (Common Log File System).
MS16-155
MS16-155 opravuje odpovědnost .NET framework. Microsoft poznamenal, že chyba je zveřejněny ale není využíván. Je to potenciálně zranitelnost s nižším rizikem a má svůj vlastní aktualizační balíček. Proto bylo ušetřeno zahrnutí do kumulativních aktualizací kvality a zabezpečení systému Windows.
To je dost, co potřebujete vědět o každé bezpečnostní aktualizaci letošního závěrečného Patch Tuesday. Takže do příštího roku Happy Patching.
Související příběhy, které byste si měli přečíst:
- Oprava zabezpečení pro Windows 10. června obsahuje obrovské opravy pro IE, Edge, Flash Player a OS Windows
- Kumulativní aktualizace systému Windows 10 Mobile opravuje některé známé problémy a zlepšuje celkový výkon
- Bezpečnostní chyba zveřejněná Googlem, opravená společností Microsoft
- Windows 7 KB3205394 opravuje hlavní chyby zabezpečení, nainstalujte si jej hned
