של החודש תיקון יום שלישי כולל תשעה עלוני אבטחה, כאשר חמישה מהם דורגו כקריטיים. אנו רואים מספר קטן יותר של תיקונים מכיוון שלדברי מייקל גריי, סגן נשיא לטכנולוגיה ב- Thrive Networks, "ייתכן שמיקרוסופט שמרה על דברים פשוטים כדי לא להצליל יותר מדי על שחרורו של שֶׁלָהֶם עדכון יום השנה של Windows 10.”
קריטי
שניים מהתיקונים החודשיים המצטברים הם עבור Internet Explorer (MS16-095) ו- Microsoft Edge (MS16-096). הראשון פותר חמש פגיעות בשחיתות זיכרון וארבעה פגמים בגילוי מידע, ואילו הראשון מתקן שמונה באגים (ארבעה פגמים בשחיתות זיכרון, שלושה חורים לגילוי מידע ו- Microsoft PDF RCE אחד פגיעות).
התיקון הקריטי השלישי הוא MS16-097 והוא עדכון אבטחה המטפל בפגיעות RCE ברכיב הגרפי של מיקרוסופט. MS16-099 מתקן שלוש נקודות תורפה של שחיתות בזיכרון ב- Office, באג אחד לחשיפת מידע של Microsoft OneNote ופגיעות אחת בשחיתות בזיכרון רכיבי גרפיקה. לבסוף, MS16-102 מתקן פגם אחד ב- RCE בספריית PDF של Microsoft Windows ובמהנדס התוכנה הראשי של Core Security, ג'ון רודולף הסביר כי חשוב לפקוח על CVE-2016-3319 המכונה "ביצוע קוד מרחוק של Microsoft PDF פגיעות.
חָשׁוּב
על פי יומן השינויים, MS16-098 מתקן ארבע נקודות תורפה של הרשאות במנהלי התקן של מערכת הליבה של Windows; MS16-100 נפטר מבאג עקיפת תכונות אבטחה באתחול מאובטח של Windows שיאפשר לתוקפים כדי להשבית בדיקות תקינות קוד ולהטען הפעלה ומנהלי התקנים חתומים על-ידי מבחן למכשיר יעד. התיקון השלישי, MS16-101, מתקן שני נקודות תורפה של הרשאות: פגם ב- Kerberos EoP ובאג של EoP של Netlogon.
באשר ל- MS16-103, תיקון זה מטפל בפגם בגילוי מידע ב- ActiveSyncProvider עבור Windows 10 ו- Windows 10 גירסה 1511. מיקרוסופט קבע כי "הפגיעות עשויה לאפשר גילוי מידע כאשר יוניברסל אאוטלוק לא מצליחה ליצור מאובטח חיבור, "והוסיף כי" העדכון מטפל בפגיעות בכך שהוא מונע מ- Universal Outlook לחשוף שמות משתמש ו- סיסמאות. "
סיפורים קשורים לבדיקה:
- יום שלישי של תיקון אפריל מביא עדכוני אבטחה עבור Windows 10, IE, Microsoft Edge ועוד
- עדכון KB3176493 שוחרר עבור Windows 10 v1511 במסגרת תיקון יום שלישי
- אמולטור BlueStacks לא ייפתח בעדכון יום השנה של Windows 10
