Dubnové opravy Microsoftu látají operační systém, prohlížeče, hypervisor i medializovaný BadLock

Pavel Houser , 13. duben 2016 19:00 0 komentářů

Jako každé druhé úterý v měsíci vydal Microsoft 12. dubna pravidelnou dávku bezpečnostních oprav. Za nejzávažnější problém se podle The Register pokládá zranitelnost v hypervisoru Hyper-V, které umožňuje obejít izolaci hostovaného systému (eskalace „nad virtuální stroj“). Škodlivá aplikace tak může běžet nikoliv je v rámci svého virtuálního stroje, ale ovlivnit i ostatní systémy a celý server (tj. spuštění kódu v rámci hostitelského prostředí).

Dále byly opraveny chyby v systému MS Office, v prohlížečích Internet Explorer i Edge a komunikační platformě Skype. Některé z těchto zranitelností označuje Microsoft jako kritické a umožňují vzdálené spuštění kódu.

Celkem Microsoft v dubnu vydal 13 bulletinů zabezpečení, které látají 40 zranitelností. Výše zmíněného problému v MS Hyper-V se týká balíček oprav MS16-045. Balíček MS16-037 představuje kumulativní aktualizaci pro Internet Explorer, některé z chyb jsou zneužitelné už při návštěvě podvodného webu. Bulletin zabezpečení MS16-037 je podobou aktualizací pro nový prohlížeč Edge. Oprava MS16-042 je určena pro MS Office, zranitelnost (porušení paměti) umožňuje spuštění kódu při otevření podvodného souboru, přičemž jedna z těchto zranitelností se týká i verze MS Office pro Mac OS. Další záplaty jsou určeny pro samotný operační systém včetně jeho rozhraní .NET Framework a OLE.

Microsoft v této souvislosti upozorňuje na kritickou záplatu MS16-039, která se týká všech podporovaných verzí Windows i dalších produktů (Skype for Business, MS Lync...). Tuto chybu lze zneužít pomocí škodlivých grafických souborů nebo fontů, vzdálený útočník pak získá plná práva k systému. Při použití příslušných fontů ke kompromitaci stačí, aby oběť navštívila podvodný web.

Žádná z uvedených zranitelností není podle všeho zatím aktivně zneužívána.

Zajímavé je, že Microsoft opravil také velmi medializovanou chybu BadLock, která se týká kromě Windows i systémů Samba (O chybě BadLock viz jeden z předcházejících bezpečnostních přehledů http://www.itbiz.cz/clanky/bezpecnostni-prehled-hackerska-soutez-pwn2own). Příslušná záplata (MS16-047) ale jako kritická označena není, jako hlavní možné zneužití se v tomto případě uvádějí útoky typu man-in-the-middle nebo DoS. Příslušnou opravu vydali i vývojáři Samby, ovšem pouze pro verze 4.2 a novější. Zranitelnost se přitom týká i starších verzí od 3.6. Podle průzkumu na ZDNet pokládá ovšem většina komentátorů dění kolem chyby BadLock spíše za humbuk a samotná záležitost není svou závažností vůbec srovnatelná se zranitelností HeartBleed, jak se snažili prezentovat její objevitelé.

Adobe současně s Microsoftem vydala záplaty pro přehrávač Flash Player i další produkty (Creative Cloud a server RoboHelp). Opravy přehrávače Flash Player jsou i součástí dubnových záplat Microsoftu (kritický bulletin zabezpečení MS16-050).


Komentáře

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

VMware Horizon v cloudu Microsoft Azure

Pavel Houser , 22. červen 2017 11:50

Řešení pro poskytování desktopu jako služby za poslední roky vyzrála....

Více 0 komentářů

Akcelerátor StartupYard získal 26 milionů Kč

Pavel Houser , 22. červen 2017 11:00

Pražský startupový akcelerátor společně s Fundliftem oznámil investici, kterou získal formou neveřej...

Více 0 komentářů

Česká asociace pojišťoven k pojištění kybernetických rizik

Pavel Houser , 22. červen 2017 10:00

Policie ČR v roce 2016 šetřila 5 344 kybernetických zločinů, což je o 321 (resp. 6,4 %) více než v p...

Více 0 komentářů

Starší zprávičky

Soud řešil krádež bitcoinů. Znalec řekl, že obžalovaný je vinen

ČTK , 22. červen 2017 09:00

Tržiště vykradli dva Američané, převedli z něj bitcoiny asi za 100 milionů korun. Jiříkovský následn...

Více 2 komentářů

Národní elektronický nástroj bude povinný od července 2018

ČTK , 22. červen 2017 08:00

Od dubna platí, že všechny organizační složky státu a centrální zadavatelé musí s dodavateli zakázek...

Více 0 komentářů

Zadavatelé reklamy na Google nejvíc zaplatí u půjček a pojištění

ČTK , 21. červen 2017 12:00

Nejnižší platbu za jedno kliknutí uživatelem mají vedle knih lékárny....

Více 3 komentářů

Nejcitlivější údaj? Výše úspor

Pavel Houser , 21. červen 2017 11:00

Jen 13 % klientů bank zmínilo, že možné riziko vidí v rámci využívání internetového bankovnictví ban...

Více 0 komentářů