מיקרוסופט פרסמה היום עדכון מצטבר חדש עבור Windows 10, שכן היא פרסמה את העדכונים עבור תיקון יום שלישי בנובמבר 2015. למהדורה זו פרסמה מיקרוסופט 12 עלוני אבטחה, מתוכם ארבעה שדורגו כקריטיים ושמונה הנותרים חשובים.
כמו תמיד, העדכון המצטבר האחרון מגיע עם "שיפורים בפונקציונליות ופותרים את הפגיעויות”ב- Windows 10. להלן כל התיקונים ששוחררו עבור משתמשי Windows 10 במסגרת תיקון יום שלישי בנובמבר 2015 והסבריהם:
- 3105256 MS15-122: עדכון אבטחה עבור Kerberos לטיפול במעקף תכונות האבטחה
MS15-122 מתקן את Kerberos כדי לפתור עקיפת תכונות אבטחה. מיקרוסופט ציינה, "תוקף יכול לעקוף את אימות Kerberos במכונת יעד ולפענח כוננים המוגנים על ידי BitLocker. ניתן לנצל את העוקף רק אם מערכת היעד מופעלת באמצעות BitLocker ללא קוד PIN או USB, המחשב מחובר לתחום ולתוקף יש גישה פיזית למחשב. "
- 3104521 MS15-119: עדכון אבטחה ב- TDX.sys כדי לטפל בהעלאת הרשאות
MS15-119 מתייחס לחור ב- Winsock בכל הגרסאות הנתמכות של Windows. מיקרוסופט הוסיפה, "הפגיעות עשויה לאפשר העלאת הרשאות אם תוקף יתחבר למערכת יעד ויפעיל קוד בעל מבנה מיוחד שנועד לנצל את הפגיעות."
- 3104507 MS15-118: עדכוני אבטחה ב .NET Framework כדי לטפל בהעלאת הזכות
MS15-118 פותר שלוש נקודות תורפה במסגרת Microsoft .NET. קנדק ציין כי אחד מאפשר לתוקף "לבצע קוד כמשתמש הגולש באתר (Cross Site Scripting). לעתים קרובות ניתן להשתמש בפגיעות אלה כדי לגנוב את פרטי ההפעלה של המשתמש ולהתחזות למשתמש; בהתאם ליישום, זה יכול להיות די משמעותי. "
- 3105864 MS15-115: עדכון אבטחה ל- Windows לטיפול בביצוע קוד מרחוק
MS15-115 מתייחס לחורים ב- Microsoft Windows; הגרועים שבהם הם שניים בזיכרון הגרפי של Windows שתוקף יכול לנצל לביצוע קוד מרחוק. בנוסף, זה מתקן שני באגים בזיכרון הליבה של Windows שעלולים להוביל להגדלת הרשאות, שני גרעינים נוספים באגים שיכולים לאפשר גילוי מידע וליקוי נוסף בליבת Windows שיכול לאפשר תכונת אבטחה לַעֲקוֹף.
- 3104519 MS15-113: עדכון אבטחה מצטבר עבור Microsoft Edge
MS15-113 הוא עדכון האבטחה המצטבר לדפדפן הקצה החדש ביותר של מיקרוסופט, המדביק ארבע נקודות תורפה שונות, הקשה ביותר עלולה לאפשר ביצוע קוד מרחוק. מיקרוסופט ציינה כי תיקון חדש זה עבור מערכות Windows 10 32 סיביות ו 64 סיביות מחליף את MS15-107, עדכון האבטחה המצטבר של Edge שהונפק באוקטובר.
- 3104517 MS15-112: עדכון אבטחה מצטבר עבור Internet Explorer
MS15-112 הוא התיקון המצטבר לפגמים בביצוע קוד מרחוק ב- Internet Explorer. מיקרוסופט מפרטת 25 CVEs, שרובם פגיעות בשחיתות בזיכרון IE. 19 נקראים פגיעויות של שחיתות בזיכרון ב- Internet Explorer, כאשר שלוש קורות חיים מתויגות במקצת שונות כפגיעות של שחיתות בזיכרון הדפדפן של מיקרוסופט. מבין שאר ה- CVE, האחד כרוך במעקף ASLR של דפדפן מיקרוסופט, האחד נועד לפגם בגילוי מידע ב- IE, ואחד הוא פגיעות בשחיתות בזיכרון במנוע הסקריפטים. עליך לפרוס זאת בהקדם האפשרי
כפי שאנו רואים, עדכונים אלה הם רציניים למדי, מכיוון שהם עוסקים בכמה מוצרים חשובים, כמו .NET Framework, וגם בדפדפני Microsoft Edge וגם בדפדפני Internet Explorer. יתר על כן, יועץ האבטחה של מיקרוסופט גם פרסם עדכון ל- Hyper-V כדי לטפל בחולשת המעבד.
העדכון המצטבר הזה הוא רק עדכון אבטחה ולמרות שהוא לא מביא שום תכונות חדשות, זה הכי הרבה צפוי לתקן לא מעט באגים ותקלות מעצבנות עבור משתמשי Windows 10 שנפגעו. להלן כמה עדכונים נוספים שפורסמו ביום שלישי תיקון זה:
- MS15-114 – פותר פגיעות ב- Windows, במיוחד יומן Windows, שעשויה לאפשר ביצוע קוד מרחוק. תיקון זה מדורג קריטי עבור כל המהדורות הנתמכות של Windows Vista ו- Windows 7, ועל כל המהדורות הנתמכות שאינן Itanium של Windows Server 2008 ו- Windows Server 2008 R2.
- MS15-116 מטפל בתקלות ובעיות במיקרוסופט אופיס, על פי רשת העולם, שמצטטת סמנכ"ל קוואליס וולפגנג קנדק:
ניתן להשתמש בחמש מהפגיעות בכדי להשיג שליטה בחשבון המשתמש הפותח את המסמך הזדוני, והן מספקות RCE. זוהי שליטה מספקת במכונה למספר התקפות, כמו Ransomware למשל. עם זאת התוקף יכול להתאים אותו לפגיעות מקומית בקרנל Windows כדי לקבל פשרה מלאה של המכונה, מה שמאפשר שליטה מלאה והתקנה של דלתות אחוריות מרובות.
- MS15-117 מספק את התיקון לפגם ב- Microsoft Windows NDIS כדי למנוע מהתוקף לנצל את הבאג ולהשיג הרשאות גבוהות יותר
- MS15-120 פותר פגיעות של מניעת שירות ב- Windows IPSEC
- MS15-121 מתקן פגם ב- Windows Schannel ש"יכול לאפשר זיוף אם תוקף מבצע התקפה של אדם באמצע (MiTM) בין לקוח לשרת לגיטימי. עדכון אבטחה זה מדורג חשוב עבור כל המהדורות הנתמכות של Microsoft Windows למעט Windows 10. "
- MS15-123 מיועד ל- Skype for Business ול- Microsoft Lync לטפל בפגיעות אשר "עלולה לאפשר גילוי מידע אם תוקף מזמין משתמש יעד לפגישה בהודעות מיידיות ואז שולח למשתמש זה הודעה המכילה JavaScript בעל מבנה מיוחד תוֹכֶן."
ספר לנו על ידי השארת התגובה שלך למטה אם תיקון יום שלישי זה תיקן עבורך דברים, או, כפי שזה קורה לפעמים, זה אכן הביא עדכונים מובהקים.
