Ko se je leto 2016 skoraj približalo odhodu, je Microsoft izdal še zadnjiPatch torek‘Posodobitev za leto. Ta posodobitev je že daleč največje število varnostnih posodobitev, izdanih v enem popravku. Vsebuje šest kritičnih popravkov, preostalih šest pa je ocenjeno kot pomembnih. Zajemal je 34 posameznih napak, ki bi lahko v primeru izkoriščanja vodile do oddaljenega izvrševanja kode. Zato se pripravite na ponovni zagon. Ugodno je, da ne odlašate z uvajanjem teh popravkov. Od treh od njih obravnavajo ranljivosti, ki so bile javno razkrite.
Kritične napake so razložene v biltenih MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 in MS16-154. Zanje naj bi premagali dovzetnost v sistemih Windows, Internet Explorer, Edge in Office. Natančneje, napake uporabnikov sistema Windows 10 so se soočale med povezovanjem z internetom po zadnjem valu popravkov, ki jih je izdal Microsoft.
Označeno z »Kritično«:
MS16-144
MS16-144 je izdan za odpravljanje številnih napak v Internet Explorerju. Prav tako odpravi nekaj napak, ki ponavadi povzročajo uhajanje informacij, in enega, ki bi lahko povzročil kršitev informacij v knjižnici objektov hiperpovezave Windows. Ta popravek bo vključen v decembrsko mesečno varnostno posodobitev za Windows.
Tu so javno razkrite pomanjkljivosti
- CVE-2016-7282 - Microsoftova ranljivost pri razkritju informacij o brskalniku.
- CVE-2016-7281 - napaka Microsoftovega brskalnika, ki obide napako.
- CVE-2016-7202 - anomalija okvare pomnilnika skriptnega mehanizma.
Ta posodobitev je bila ocenjena kot »Popravi zdaj«, predvsem zaradi resnosti težave, ki jo bo odpravila. MS16-144 bo uporabljen za vse trenutno podprte različice IE.
MS16-145
MS16-145 prenovi več prijavljenih napak v Microsoftovem "novem in izboljšanem" brskalniku Edge. Število prijavljenih napak je presenetljivo celo večje kot Internet Explorer, ki je ocenjen z 11 napakami. MS16-145 rešuje ta kritična vprašanja.
- Pet običajnih napak v skriptnem motorju.
- Dve hrošči napake v pomnilniku.
- Obvod varnostne funkcije.
MS16-146
MS16-146 ponavadi popravi kritične ranljivosti oddaljenega izvajanja kode v Microsoftovi grafični komponenti sistema Windows. Poleg tega odpravlja napako v razkritju informacij GDI za Windows. Vse te ranljivosti so zasebno prijavljene. Popravek naj bi nadomestil prejšnjo mesečno posodobitev grafičnih komponent za vse sisteme Windows 10 in Server 2016 sistemov.
Je tudi drugi popravek za samo varnost sistema Windows ali posodobitev za ta mesec.
MS16-147
MS16-147 je izdan izključno za reševanje trajne odgovornosti v programu Windows Uniscribe. Napaka naj bi sprožila scenarij oddaljenega izvajanja kode. To je če uporabniki obiščejo posebej izdelano spletno mesto ali odprejo posebej oblikovan dokument. Zagotovo je to nekaj, česar ne vidimo vsak mesec.
Za tiste, ki ne vedo, je komponenta Uniscribe zbirka API-jev, namenjenih obdelavi tipografije v sistemu Windows za različne jezike.
MS16-148
The MS16-148 je izdan za odpravo številnih ranljivosti oddaljenega izvajanja kode. 16 zasebno vpisanih napak še vedno obstaja v Microsoft Officeu. Resnost napak je mogoče določiti z dejstvom, da lahko, če jih ne odpravijo, privedejo do scenarija oddaljenega izvajanja kode v ciljnem sistemu. Tu je seznam napak:
- Štirje hrošči zaradi poškodb spomina
- Težava s stranskim nalaganjem Office OLE DLL.
- Napaka, ki razkriva ključne informacije o GDI skupaj s številnimi drugimi.
MS16-154
The MS16-154 obliž je ovoj in odpravlja ključne napake v vdelanem predvajalniku Adobe Flash Player. To je potencialno najnevarnejša težava, če je ne popravimo. Odpravljal naj bi 17 težav, vključno z eno napako, ki trenutno teče v naravi. Microsoft je presenetljivo predlagal olajševalni dejavnik za to težavo. Presenetljivo je, ker podjetje tega ponavadi nikoli ne naredi. Rešitev je v celoti odstraniti Flash.
Prejeta so bila poročila o ranljivosti nič dni, ki jim je uspelo ogroziti 32-bitne sisteme Internet Explorer. Torej, to je kritična posodobitev »Popravi zdaj«.
Obravnava:
- Štiri napake pri prelivanju medpomnilnika.
- Pet težav s poškodbami pomnilnika, ki bi lahko povzročile oddaljeno izvajanje kode.
Označeno z »Pomembno«:
MS16-149
Popravek je izdan za reševanje dveh težav, o katerih zasebno poroča sistem Windows.
- Napaka pri razkritju kripto informacij v sistemu Windows, ki vključuje obdelavo predmetov v pomnilniku.
- Napaka, ki vodi do povišanja privilegija v Komponenta kriptografije sistema Windowst.
MS16-149 bo dodan k mesečnemu varnostnemu seznamu.
MS16-150
To je varnostna posodobitev za edino ranljivost, o kateri poročajo zasebno. MS16-150 glede stalne težave z jedrom sistema Windows, ki bi lahko ogrozila uporabniške privilegije. Vzrok je predvsem zaradi nepravilnega ravnanja s predmeti v spominu.
MS16-151
MS16-151 poskuša popraviti nekaj manjših napak. Vsaka zasebna prijava in naj bi povzročila minimalno škodo. Ena je povezana s pomanjkljivostjo Win32k EoP Jedro sistema Windows gonilniki načina. Druga težava, ki jo obravnava, je grafična komponenta Windows, ki napačno ravna s predmeti v pomnilniku.
MS16-152
MS16-152 je varnostni popravek za Jedro sistema Windows in je namenjen odpravi izključne odgovornosti. Gre za zasebno prijavljeno ranljivost v Jedro sistema Windows ki vpliva samo na sisteme Windows 10 in Server 2016. Znano je, da napaka v najslabšem primeru povzroča razkritje informacij. Ta popravek bo priložen mesečnemu namestitvi sistema Windows.
Ta popravek odpravlja eno samo napako pri razkritju informacij, ki je prav tako zasebno navedena. Napaka je še vedno prisotna v podsistemu gonilnikov sistema Windows, sprožena s posodobitvijo sistema skupnih datotek dnevnika (CLFS).
MS16-155
MS16-155 popravi odgovornost za ogrodje .NET. Microsoft je ugotovil, da je napaka javno razkrito vendar se ne izkorišča. Gre za ranljivost z manjšim tveganjem in ima svoj paket posodobitev. Zato je bil prihranjen pred vključitvijo v sistem kakovosti in varnosti sistema Windows.
To je dovolj, kar morate vedeti o vsaki varnostni posodobitvi zadnjega letošnjega popravka v torek. Torej do naslednjega leta, Happy Patching.
Povezane zgodbe, ki jih morate prebrati:
- Varnostni popravek za Windows 10. junija vsebuje ogromne popravke za IE, Edge, Flash Player in Windows OS
- Kumulativna posodobitev sistema Windows 10 Mobile odpravi nekatere znane težave in izboljša splošno zmogljivost
- Googlova varnostna napaka, ki jo je odpravil Microsoft
- Windows 7 KB3205394 popravi večje varnostne ranljivosti, namestite ga zdaj
