Dubnové opravy Microsoftu látají operační systém, prohlížeče, hypervisor i medializovaný BadLock

Pavel Houser , 13. duben 2016 19:00 0 komentářů

Jako každé druhé úterý v měsíci vydal Microsoft 12. dubna pravidelnou dávku bezpečnostních oprav. Za nejzávažnější problém se podle The Register pokládá zranitelnost v hypervisoru Hyper-V, které umožňuje obejít izolaci hostovaného systému (eskalace „nad virtuální stroj“). Škodlivá aplikace tak může běžet nikoliv je v rámci svého virtuálního stroje, ale ovlivnit i ostatní systémy a celý server (tj. spuštění kódu v rámci hostitelského prostředí).

Dále byly opraveny chyby v systému MS Office, v prohlížečích Internet Explorer i Edge a komunikační platformě Skype. Některé z těchto zranitelností označuje Microsoft jako kritické a umožňují vzdálené spuštění kódu.

Celkem Microsoft v dubnu vydal 13 bulletinů zabezpečení, které látají 40 zranitelností. Výše zmíněného problému v MS Hyper-V se týká balíček oprav MS16-045. Balíček MS16-037 představuje kumulativní aktualizaci pro Internet Explorer, některé z chyb jsou zneužitelné už při návštěvě podvodného webu. Bulletin zabezpečení MS16-037 je podobou aktualizací pro nový prohlížeč Edge. Oprava MS16-042 je určena pro MS Office, zranitelnost (porušení paměti) umožňuje spuštění kódu při otevření podvodného souboru, přičemž jedna z těchto zranitelností se týká i verze MS Office pro Mac OS. Další záplaty jsou určeny pro samotný operační systém včetně jeho rozhraní .NET Framework a OLE.

Microsoft v této souvislosti upozorňuje na kritickou záplatu MS16-039, která se týká všech podporovaných verzí Windows i dalších produktů (Skype for Business, MS Lync...). Tuto chybu lze zneužít pomocí škodlivých grafických souborů nebo fontů, vzdálený útočník pak získá plná práva k systému. Při použití příslušných fontů ke kompromitaci stačí, aby oběť navštívila podvodný web.

Žádná z uvedených zranitelností není podle všeho zatím aktivně zneužívána.

Zajímavé je, že Microsoft opravil také velmi medializovanou chybu BadLock, která se týká kromě Windows i systémů Samba (O chybě BadLock viz jeden z předcházejících bezpečnostních přehledů http://www.itbiz.cz/clanky/bezpecnostni-prehled-hackerska-soutez-pwn2own). Příslušná záplata (MS16-047) ale jako kritická označena není, jako hlavní možné zneužití se v tomto případě uvádějí útoky typu man-in-the-middle nebo DoS. Příslušnou opravu vydali i vývojáři Samby, ovšem pouze pro verze 4.2 a novější. Zranitelnost se přitom týká i starších verzí od 3.6. Podle průzkumu na ZDNet pokládá ovšem většina komentátorů dění kolem chyby BadLock spíše za humbuk a samotná záležitost není svou závažností vůbec srovnatelná se zranitelností HeartBleed, jak se snažili prezentovat její objevitelé.

Adobe současně s Microsoftem vydala záplaty pro přehrávač Flash Player i další produkty (Creative Cloud a server RoboHelp). Opravy přehrávače Flash Player jsou i součástí dubnových záplat Microsoftu (kritický bulletin zabezpečení MS16-050).


Komentáře

RSS 

Komentujeme

Google vs. Oracle: Kdo tahá za kratší konec?

Pavel Houser , 04. duben 2018 11:30
Pavel Houser

Po 8 letech právních sporů vstoupila soudní tahanice mezi Googlem a Oraclem do dalšího kola. Nakolik...

Více







RSS 

Zprávičky

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 0 komentářů

Netflixu prudce stoupají příjmy i počet odběratelů

ČTK , 20. duben 2018 09:36

Čistý zisk ve čtvrtletí stoupl na 290,1 milionu dolarů, neboli 64 centů na akcii....

Více 0 komentářů

Zájem o přijímače s digitálním rádiem je minimální

ČTK , 20. duben 2018 08:00

Český rozhlas na konci loňského roku rozšířil pokrytí digitálním signálem na 40 % populace....

Více 0 komentářů

Starší zprávičky

eMan vykupuje zpět podíl Jablotronu

Pavel Houser , 19. duben 2018 14:32

Strategie obou společností se po více než 2 letech propojení rozcházejí, kontrolu nad firmou získáva...

Více 0 komentářů

Facebook reaguje na nové normy EU, cílená reklama ale nepřestane

ČTK , 19. duben 2018 10:26

Facebook se začal dotazovat svých uživatelů, zda může v jejich fotografiích a videích používat techn...

Více 2 komentářů

Ruské úřady vs. Telegram

ČTK , 19. duben 2018 08:00

Začaly se objevovat informace o rozsáhlých výpadcích služeb, které se sporem nijak nesouvisejí....

Více 0 komentářů

Arbes převzal slovenský Finamis a posiluje v oblasti řešení pro kapitálové trhy

ITBiz.cz , 18. duben 2018 16:30

Arbes Technologies za nezveřejněnou sumu získala majoritní podíl ve slovenské společnosti Finamis, k...

Více 0 komentářů