A Microsoft a múlt havi hibajavító keddhez képest egy jóval izmosabb frissítéssel szolgált, hiszen míg szeptemberben mindössze két biztonsági közleménnyel (és egy soron kívüli Internet Explorer frissítéssel) rukkolt elő, addig tegnap hét tájékoztatóban ismertette a legutóbb felfedezett sebezhetőségeket. A letölthetővé tett hibajavítások telepítésére a Windows és az Office felhasználóinak, valamint az SQL Server, a SharePoint Server és a Lync kiszolgálók üzemeltetőinek kell különös figyelmet fordítaniuk. Az októberi biztonsági közlemények közül egy kapott kritikus veszélyességi besorolást, míg a többi fontos veszélyességűnek minősül.

Középpontban az Office

A Microsoft kritikus veszélyességi besorolást kapott, októberi közleménye a Word alkalmazáshoz kapcsolódik.

A tájékoztatóban két sérülékenység rövid ismertetése olvasható, amelyek mindegyike speciálisan szerkesztett Word, pontosabban RTF-formátumú dokumentumok révén válhat kihasználhatóvá. Amennyiben erre sor kerül, akkor a támadók tetszőleges kódokat futtathatnak le az érintett rendszereken, és akár teljes mértékben átvehetik e számítógépek feletti irányítást. Mindennek a valószínűsége annál nagyobb, minél több jogosultság mellett futtatja a felhasználó a szövegszerkesztő alkalmazást. A hiba a legtöbb kockázatot az Office 2007 valamint az Office 2010 kapcsán rejti, de az Office 2003 frissítésére is szükség van.

Az Office egy másik hibajavítással is gyarapodott, amelyet az InfoPath 2007, az InfoPath 2010 valamint a Lync 2010 esetében szükséges telepíteni. A sebezhetőség HTML-stringek esetenkénti nem megfelelő ellenőrzésére, illetve feldolgozására vezethető vissza, amely végül cross-site scripting (XSS) alapú károkozásokat idézhet elő. A támadók különféle scripteket futtathatnak le a felhasználó biztonsági kontextusának megfelelően.

Itt kell megjegyezni, hogy a Works 9 alkalmazás is kapott egy frissítést, ami egy olyan sérülékenységtől szabadítja meg a szoftvert, amely speciálisan szerkesztett Word alkalmazások megnyitásakor okozhat problémákat.

Hibajavítások a Windows-hoz

A Microsoft a Windows operációs rendszerhez két fontos veszélyességi besorolással ellátott közleményt adott ki, amelyek egy-egy biztonsági rés befoltozásában nyújtanak segítséget.

Az egyik sérülékenység a kernel kapcsán merült fel, és puffertúlcsordulási hibát idézhet elő, aminek követeztében jogosulatlan kernelszintű kódfuttatásra nyílhat lehetőségük a támadóknak. A másik sebezhetőség pedig a Kerberos támogatását érinti. E rendellenesség speciális Kerberos kérések révén válhat kihasználhatóvá, és szolgáltatásmegtagadási támadásokat segíthet elő. Az előbbi biztonsági hiba a Windows 8 valamint a Windows Server 2012 kivételével az összes jelenleg támogatott Windows verzióban megtalálható, míg az utóbbi a Windows 7 és a Windows Server 2008 R2 esetében okozhat problémákat.

Frissült a FAST Search Server

A fejlesztők a Microsoft FAST Search Server 2010 for SharePoint Service Pack 1 kapcsán is kiadtak egy patch-et, amelyet tulajdonképpen az Oracle Outside In Technology egy korábbi hibája miatt kellett elérhetővé tenniük. A sebezhetőség távoli kódfuttatást tehet lehetővé, és akkor jelent kockázatot, ha az Advanced Filter Pack engedélyezett. Ez alapértelmezett beállításként kikapcsolt állapotban található a rendszereken.

Folt az SQL Serverre

Az SQL Serverben egy cross-site-scripting (XSS) alapú támadásokra lehetőséget adó hibára derült fény. A sebezhetőség azon kiszolgálók esetében jelent kockázatot, amelyeken az SQL Server Reporting Services (SSRS) is fut. A biztonsági rés az SQL Server Report Managerben található, és a kihasználásával a támadók különféle kódokat futtathatnak le vagy esetenként bizalmas információkhoz is hozzáférést szerezhetnek. A hiba akkor válhat kihasználhatóvá, ha a felhasználó egy speciálisan szerkesztett linkre kattint, vagy egy kártékony weboldalt tekint meg. A sebezhetőség miatt az SQL Server 2000, 2005, 2008, 2008 R2 valamint a legújabb 2012-es kiadás frissítésére is szükség van.

Itt a szigorítás

Ahogy arról a Biztonságportálon korábban már többször beszámoltunk, a Microsoft az októberi hibajavító keddre tervezte annak - az amúgy augusztus óta letölthető - frissítésének Update szolgáltatásokon keresztül történő elérhetővé tételét, amelynek következtében szigorúbbá válik az RSA-kulcsok kezelése. A patch meg is érkezett.

"A nyilvános kulcsokon alapuló titkosítási algoritmusok hatásossága attól függ, hogy mennyi időbe telik megállapítani találgatásos módszerekkel a titkos kulcsot. Az algoritmus akkor eléggé erős, ha a titkos kulcs visszafejtéséhez szükséges idő mennyisége elriasztónak bizonyul a rendelkezésre álló informatikai erőforrások mellett.

A fenyegetettség mértéke egyre nő. Ezért a Microsoft tovább szigorítja az RSA-algoritmusokra vonatkozó követelményeket, és nem engedélyezi az 1024 bitesnél rövidebb kulcsok használatát. A CryptoAPI kiépít egy tanúsítványi megbízhatósági láncot, és ellenőrzi azt az érvényesség, a visszavonás és a tanúsítványi irányelvek (például a megjelölt felhasználási célok) ellenőrzésével. A frissítés egy további ellenőrzést is alkalmaz, amellyel megbizonyosodik afelől, hogy a lánc egyetlen tanúsítványában sem rövidebb az RSA-kulcs 1024 bitesnél." - olvasható a Microsoft tájékoztatójában.

Forrás: Microsoft

A Microsoft jelezte, hogy amennyiben a tanúsítványok ellenőrzése és szükség esetén lecserélése nem történik meg, akkor az egyebek mellett a CA (certsvc) szolgáltatás, az Internet Explorer, az Outlook, illetve az újonnan telepített ActiveX vezérlők működését is hátrányosan érintheti.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.

computerworld