Dubnové opravy Microsoftu látají operační systém, prohlížeče, hypervisor i medializovaný BadLock

Pavel Houser , 13. duben 2016 19:00 0 komentářů

Jako každé druhé úterý v měsíci vydal Microsoft 12. dubna pravidelnou dávku bezpečnostních oprav. Za nejzávažnější problém se podle The Register pokládá zranitelnost v hypervisoru Hyper-V, které umožňuje obejít izolaci hostovaného systému (eskalace „nad virtuální stroj“). Škodlivá aplikace tak může běžet nikoliv je v rámci svého virtuálního stroje, ale ovlivnit i ostatní systémy a celý server (tj. spuštění kódu v rámci hostitelského prostředí).

Dále byly opraveny chyby v systému MS Office, v prohlížečích Internet Explorer i Edge a komunikační platformě Skype. Některé z těchto zranitelností označuje Microsoft jako kritické a umožňují vzdálené spuštění kódu.

Celkem Microsoft v dubnu vydal 13 bulletinů zabezpečení, které látají 40 zranitelností. Výše zmíněného problému v MS Hyper-V se týká balíček oprav MS16-045. Balíček MS16-037 představuje kumulativní aktualizaci pro Internet Explorer, některé z chyb jsou zneužitelné už při návštěvě podvodného webu. Bulletin zabezpečení MS16-037 je podobou aktualizací pro nový prohlížeč Edge. Oprava MS16-042 je určena pro MS Office, zranitelnost (porušení paměti) umožňuje spuštění kódu při otevření podvodného souboru, přičemž jedna z těchto zranitelností se týká i verze MS Office pro Mac OS. Další záplaty jsou určeny pro samotný operační systém včetně jeho rozhraní .NET Framework a OLE.

Microsoft v této souvislosti upozorňuje na kritickou záplatu MS16-039, která se týká všech podporovaných verzí Windows i dalších produktů (Skype for Business, MS Lync...). Tuto chybu lze zneužít pomocí škodlivých grafických souborů nebo fontů, vzdálený útočník pak získá plná práva k systému. Při použití příslušných fontů ke kompromitaci stačí, aby oběť navštívila podvodný web.

Žádná z uvedených zranitelností není podle všeho zatím aktivně zneužívána.

Zajímavé je, že Microsoft opravil také velmi medializovanou chybu BadLock, která se týká kromě Windows i systémů Samba (O chybě BadLock viz jeden z předcházejících bezpečnostních přehledů http://www.itbiz.cz/clanky/bezpecnostni-prehled-hackerska-soutez-pwn2own). Příslušná záplata (MS16-047) ale jako kritická označena není, jako hlavní možné zneužití se v tomto případě uvádějí útoky typu man-in-the-middle nebo DoS. Příslušnou opravu vydali i vývojáři Samby, ovšem pouze pro verze 4.2 a novější. Zranitelnost se přitom týká i starších verzí od 3.6. Podle průzkumu na ZDNet pokládá ovšem většina komentátorů dění kolem chyby BadLock spíše za humbuk a samotná záležitost není svou závažností vůbec srovnatelná se zranitelností HeartBleed, jak se snažili prezentovat její objevitelé.

Adobe současně s Microsoftem vydala záplaty pro přehrávač Flash Player i další produkty (Creative Cloud a server RoboHelp). Opravy přehrávače Flash Player jsou i součástí dubnových záplat Microsoftu (kritický bulletin zabezpečení MS16-050).


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů