Z 2016 r. Prawie zbliżając się do jego odejścia, Microsoft wydał ostatnią „Patch wtorekAktualizacja na rok. Ta aktualizacja ma jak dotąd największa liczba aktualizacji bezpieczeństwa wydana w jednej łatce. Zawiera sześć krytycznych łatek, a pozostałe sześć oceniono jako ważne. Obejmuje 34 pojedyncze błędy, z których wszystkie, jeśli zostaną wykorzystane, mogą doprowadzić do zdalnego wykonania kodu. Przygotuj się więc na ponowne uruchomienie. Korzystne jest, aby nie opóźniać wdrażania tych poprawek. Od trzech z nich usuwają publicznie ujawnione luki w zabezpieczeniach.
Krytyczne wady są wyjaśnione w biuletynach MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 i MS16-154. Mówi się, że pokonują podatności w systemach Windows, Internet Explorer, Edge i Office. Mówiąc dokładniej, usterka, z jaką borykali się użytkownicy Windows 10 podczas łączenia się z Internetem po ostatniej fali łatek wydanych przez Microsoft.
Oznaczony jako „Krytyczny”:
MS16-144
MS16-144 został wydany w celu usunięcia wielu błędów w programie Internet Explorer. Naprawia również kilka usterek, które mogą powodować wycieki informacji i jeden, który może prowadzić do naruszenia informacji w bibliotece obiektów hiperłączy Windows. Ta poprawka zostanie uwzględniona w grudniowej comiesięcznej aktualizacji zabezpieczeń dla systemu Windows.
Oto publicznie ujawnione wady
- CVE-2016-7282 — luka w zabezpieczeniach przeglądarki firmy Microsoft umożliwiająca ujawnienie informacji.
- CVE-2016-7281 — błąd omijania funkcji zabezpieczeń przeglądarki firmy Microsoft.
- CVE-2016-7202 — anomalia związana z uszkodzeniem pamięci silnika skryptów.
Ta aktualizacja została oceniona jako „Popraw teraz”, głównie ze względu na powagę problemu, który ma naprawić. MS16-144 zostanie zastosowany do wszystkich aktualnie obsługiwanych wersji IE.
MS16-145
MS16-145 dokonuje przeglądu kilku zgłoszonych błędów w „nowej i ulepszonej” przeglądarce Edge firmy Microsoft. Liczba zgłoszonych usterek jest zaskakująco większa niż w przypadku Internet Explorera, który jest ocenzurowany 11 błędami. MS16-145 rozwiązuje te krytyczne problemy.
- Pięć typowych wad silnika skryptów.
- Dwa błędy związane z uszkodzeniem pamięci.
- Obejście funkcji bezpieczeństwa.
MS16-146
MS16-146 ma tendencję do łatania krytycznych luk w zabezpieczeniach zdalnego wykonywania kodu w komponencie Microsoft Graphics systemu Windows. Co więcej, naprawia błąd ujawniania informacji GDI systemu Windows. Wszystkie te luki są zgłaszane prywatnie. Łatka ma zastąpić aktualizację komponentów graficznych z zeszłego miesiąca dla wszystkich systemów Windows 10 i Server 2016 systemy.
Jest to również druga łatka dla systemu Windows Security Only lub aktualizacja „roll-up” na ten miesiąc.
MS16-147
MS16-147 została wydana wyłącznie w celu rozwiązania problemu trwałej odpowiedzialności w programie Windows Uniscribe. Mówi się, że błąd uruchamia scenariusz zdalnego wykonania kodu. To jest gdyby użytkownicy odwiedzają specjalnie spreparowaną witrynę lub otwierają specjalnie spreparowany dokument. Z pewnością jest to coś, czego nie widzimy co miesiąc.
Dla tych, którzy nie wiedzą, komponent Uniscribe to zbiór interfejsów API, które mają obsługiwać typografię w systemie Windows dla różnych języków.
MS16-148
MS16-148 została wydana w celu wyeliminowania wielu luk w zabezpieczeniach umożliwiających zdalne wykonanie kodu. Szesnaście prywatnie wpisanych błędów utrzymuje się w pakiecie Microsoft Office. Poważność usterek można określić na podstawie faktu, że pozostawione bez poprawek mogą prowadzić do scenariusza zdalnego wykonania kodu w systemie docelowym. Oto lista usterek:
- Cztery błędy związane z uszkodzeniem pamięci.
- Problem z ładowaniem bocznym biblioteki Office OLE DLL.
- Błąd, który ujawnia krytyczne informacje GDI wraz z kilkoma innymi.
MS16-154
MS16-154 łatka jest opakowaniem i usuwa kluczowe wady wbudowanego odtwarzacza Adobe Flash Player. Jest to potencjalnie najbardziej niebezpieczny problem, jeśli nie zostanie załatany. Mówi się, że naprawiło 17 problemów, w tym jedną lukę, która obecnie działa na wolności. Microsoft niespodziewanie zasugerował czynnik łagodzący ten problem. To zdumiewające, bo firma zwykle tego nie robi. Rozwiązaniem jest całkowite odinstalowanie Flasha.
Otrzymano zgłoszenia dotyczące luki zero-day, która pozwoliła na złamanie zabezpieczeń 32-bitowych systemów Internet Explorer. Jest to więc krytyczna aktualizacja „Patch Now”.
Adresuje:
- Cztery błędy przepełnienia bufora.
- Pięć problemów z uszkodzeniem pamięci, które mogą potencjalnie spowodować zdalne wykonanie kodu.
Oznaczone jako „Ważne”:
MS16-149
Poprawka została wydana, aby rozwiązać dwa zgłoszone przez użytkowników problemy w systemie Windows.
- Błąd ujawnienia informacji kryptograficznych systemu Windows, który obejmuje obsługę obiektów w pamięci.
- Błąd, który prowadzi do podniesienia uprawnień w Komponent kryptograficzny Windowst.
MS16-149 zostanie dodany do podsumowania zabezpieczeń w tym miesiącu.
MS16-150
Jest to aktualizacja zabezpieczeń dotycząca jedynej luki w zabezpieczeniach, zgłoszonej przez użytkowników. MS16-150 odnosi się do utrzymującego się problemu jądra systemu Windows, który może naruszyć uprawnienia użytkownika. Jest to spowodowane głównie niewłaściwą obsługą obiektów w pamięci.
MS16-151
MS16-151 próbuje naprawić kilka drobnych błędów. Każda prywatnie zgłoszona i szacuje się, że powoduje minimalną szkodę. Jeden jest związany z błędem Win32k EoP w Jądro Windows sterowniki trybu. Innym problemem, który rozwiązuje, jest składnik graficzny systemu Windows, który niewłaściwie obsługuje obiekty w pamięci.
MS16-152
MS16-152 to łatka bezpieczeństwa dla Jądro Windows i ma na celu rozwiązanie wyłącznej odpowiedzialności. Jest to zgłoszona prywatnie luka w private Jądro Windows dotyczy to tylko systemów Windows 10 i Server 2016. Wiadomo, że błąd w najgorszym przypadku powoduje ujawnienie informacji. Ta poprawka zostanie dołączona do miesięcznego podsumowania systemu Windows.
Ta poprawka rozwiązuje pojedynczą usterkę związaną z ujawnieniem informacji, również podaną prywatnie. Błąd utrzymuje się w podsystemie sterowników Windows, wywoływany przez aktualizację Common Log File System (CLFS).
MS16-155
MS16-155 naprawia odpowiedzialność .NET Framework. Microsoft zauważył, że błąd jest publicznie ujawnione ale nie jest wykorzystywana. Jest to potencjalnie podatność na mniejsze ryzyko i ma własny pakiet aktualizacji. W związku z tym oszczędzono jej włączenia do rollupów dotyczących jakości i bezpieczeństwa systemu Windows.
To wystarczy, aby wiedzieć o każdej aktualizacji zabezpieczeń tegorocznej ostatniej łatki we wtorek. Tak więc do przyszłego roku Happy Patching.
Powiązane artykuły, które powinieneś przeczytać:
- Aktualizacja zabezpieczeń systemu Windows 10 z czerwca zawiera ogromne poprawki dla IE, Edge, Flash Playera i systemu operacyjnego Windows
- Zbiorcza aktualizacja systemu Windows 10 Mobile rozwiązuje niektóre znane problemy i poprawia ogólną wydajność
- Upubliczniona przez Google luka w zabezpieczeniach załatana przez Microsoft
- Windows 7 KB3205394 łata główne luki w zabezpieczeniach, zainstaluj go teraz
