Keďže rok 2016 takmer dosiahol svoj odchod, spoločnosť Microsoft vydala poslednýPatch utorok„Aktualizácia za rok. Táto aktualizácia má zďaleka najvyšší počet bezpečnostných aktualizácií vydaných v jednej aktualizácii. Obsahuje šesť kritických opráv, zvyšných šesť je označených ako dôležité. Zahŕňalo 34 jednotlivých chýb, z ktorých všetky by v prípade zneužitia mohli viesť k spusteniu kódu na diaľku. Pripravte sa teda na reštart. Je priaznivé neodkladať nasadenie týchto opráv. Od troch z nich sa venuje zraniteľnostiam, ktoré boli zverejnené.
Kritické nedostatky sú vysvetlené v bulletinoch MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 a MS16-154. Hovorí sa o nich, že prekonávajú náchylnosť v systémoch Windows, Internet Explorer, Edge a Office. Presnejšie povedané, problémom, ktorým čelili používatelia Windows 10 počas pripojenia k internetu po poslednej vlne opráv vydaných spoločnosťou Microsoft.
Označené ako „kritické“:
MS16-144
MS16-144 je vydaný na riešenie množstva chýb v prehliadači Internet Explorer. Opravuje tiež niekoľko závad, ktoré zvyčajne spôsobujú únik informácií, a tých, ktoré by mohli viesť k porušeniu informácií v knižnici objektov hypertextových odkazov v systéme Windows. Táto oprava bude zahrnutá v decembrovej mesačnej aktualizácii zabezpečenia pre Windows.
Tu sú zverejnené chyby
- CVE-2016-7282 - chyba zabezpečenia zverejnenia informácií v prehľadávači Microsoft.
- CVE-2016-7281 - chyba obchádzania funkcie zabezpečenia prehliadača Microsoft.
- CVE-2016-7202 - anomália poškodenia pamäte skriptovacieho stroja.
Táto aktualizácia bola ohodnotená ako „Oprava teraz“, hlavne kvôli závažnosti problému, ktorý je určená na opravu. MS16-144 sa použije na všetky aktuálne podporované verzie IE.
MS16-145
MS16-145 opraví niekoľko hlásených chýb v „novom a vylepšenom“ prehliadači Edge od spoločnosti Microsoft. Počet hlásených závad je prekvapivo ešte väčší ako v prípade prehľadávača Internet Explorer, ktorý je vyčítaný 11 chybami. MS16-145 rieši tieto kritické problémy.
- Päť obvyklých chýb skriptovacieho motora.
- Dve z chýb poškodenia pamäte.
- Vynechanie bezpečnostného prvku.
MS16-146
MS16-146 má tendenciu opravovať kritické zraniteľné miesta vzdialeného spustenia kódu v grafickej súčasti systému Microsoft Windows. Ďalej opravuje chybu v zverejňovaní informácií o Windows GDI. Všetky tieto chyby sú hlásené súkromne. Oprava má nahradiť aktualizáciu grafických komponentov z minulého mesiaca pre všetky Windows 10 a Server 2016 systémov.
Je to tiež druhá opravná aktualizácia pre Windows Security Only alebo „súhrnná“ aktualizácia pre tento mesiac.
MS16-147
MS16-147 je vydaný výlučne na riešenie pretrvávajúcej zodpovednosti v systéme Windows Uniscribe. Táto chyba údajne zapríčinila scenár vzdialeného spustenia kódu. To je ak používatelia navštívia špeciálne vytvorenú webovú stránku alebo otvoria špeciálne vytvorený dokument. Je to určite niečo, čo nevidíme každý mesiac.
Pre tých, ktorí to nevedia, je súčasť Uniscribe kolekcia rozhraní API, ktoré sú určené na zvládnutie typografie v systéme Windows pre rôzne jazyky.
MS16-148
The MS16-148 je vydaný na riešenie množstva zraniteľností pri vzdialenom spustení kódu. 16 súkromne vpísaných chýb pretrváva v balíku Microsoft Office. Závažnosť závad môže byť určená skutočnosťou, že ak nebudú opravené, môžu viesť k scenáru vzdialeného spustenia kódu v cieľovom systéme. Tu je zoznam závad:
- Štyri chyby poškodenia pamäte.
- Problém s bočným načítaním balíka Office OLE DLL.
- Chyba, ktorá zverejňuje kritické informácie GDI spolu s niekoľkými ďalšími.
MS16-154
The MS16-154 patch je obal a odstraňuje zásadné chyby vo vstavanom prehrávači Adobe Flash Player. Toto je potenciálne najnebezpečnejší problém, ak ho nebudete opravovať. Hovorí sa, že opravuje 17 problémov, vrátane jednej chyby, ktorá momentálne beží vo voľnej prírode. Spoločnosť Microsoft prekvapivo navrhla poľahčujúci faktor pre tento problém. Je to úžasné, pretože spoločnosť to zvyčajne nikdy nerobí. Riešením je úplná odinštalovanie aplikácie Flash.
Boli prijaté správy o zraniteľnosti nulového dňa, ktorá dokázala kompromitovať 32-bitové systémy Internet Explorer. Toto je kritická aktualizácia „Patch Now“.
Rieši:
- Štyri chyby pretečenia medzipamäte.
- Päť problémov s poškodením pamäte, ktoré by mohli potenciálne spôsobiť vzdialené spustenie kódu.
Označené ako „dôležité“:
MS16-149
Oprava je vydaná s cieľom vyriešiť dva súkromne hlásené problémy v systéme Windows.
- Chyba v zverejňovaní krypto informácií Windows, ktorá zahŕňa manipuláciu s objektmi v pamäti.
- Chyba, ktorá vedie k zvýšeniu oprávnení v systéme Windows Komponent kryptografie Windowst.
MS16-149 bude pridaná do súhrnu zabezpečenia tohto mesiaca.
MS16-150
Toto je aktualizácia zabezpečenia pre jedinú chybu zabezpečenia, ktorá bola zverejnená súkromne. MS16-150 pokiaľ ide o pretrvávajúci problém s jadrom systému Windows, ktorý by mohol narušiť oprávnenie používateľa. Je to spôsobené hlavne nesprávnym zaobchádzaním s objektmi v pamäti.
MS16-151
MS16-151 pokusy o generálnu opravu niekoľkých menších chýb. Každá súkromne nahlásená a odhaduje sa, že spôsobuje minimálnu škodu. Jeden súvisí s chybou Win32k EoP Windows Kernel ovládače režimu. Ďalším problémom, ktorý rieši, je grafická súčasť systému Windows, ktorá narába s objektmi v pamäti.
MS16-152
MS16-152 je bezpečnostná oprava pre Windows Kernel a zameriava sa na riešenie výlučnej zodpovednosti. Ide o súkromne hlásenú chybu zabezpečenia v Windows Kernel ktorá ovplyvňuje iba systémy Windows 10 a Server 2016. Je známe, že chyba spôsobuje zverejnenie informácií, v horšom prípade. Táto oprava bude dodávaná spolu s mesačnou aktualizáciou systému Windows.
Táto oprava rieši jedinú chybu v zverejňovaní informácií, ktorá je tiež súkromne uvedená. Chyba pretrváva v podsystéme ovládačov pre Windows, vyvolaná aktualizáciou systému CLFS (Common Log File System).
MS16-155
MS16-155 opravuje zodpovednosť za rámec .NET. Microsoft poznamenal, že chyba je verejne zverejnené ale nie je využívaný. Je to potenciálne slabšie zraniteľné miesto a má svoj vlastný aktualizačný balík. Preto bolo ušetrené zahrnutia do súhrnných informácií o kvalite a zabezpečení systému Windows.
To je dosť, čo potrebujete vedieť o každej aktualizácii zabezpečenia tohtoročného Patch Tuesday. Takže do budúceho roka Happy Patching.
Súvisiace príbehy, ktoré by ste si mali prečítať:
- Oprava zabezpečenia pre Windows 10. júna obsahuje obrovské opravy pre IE, Edge, Flash Player a OS Windows
- Kumulatívna aktualizácia systému Windows 10 Mobile opravuje niektoré známe problémy a zlepšuje celkový výkon
- Chyba zabezpečenia zverejnená spoločnosťou Google, opravená spoločnosťou Microsoft
- Windows 7 KB3205394 opravuje hlavné chyby zabezpečenia, nainštalujte si ich teraz
