Dubnové opravy Microsoftu látají operační systém, prohlížeče, hypervisor i medializovaný BadLock

Pavel Houser , 13. duben 2016 19:00 0 komentářů

Jako každé druhé úterý v měsíci vydal Microsoft 12. dubna pravidelnou dávku bezpečnostních oprav. Za nejzávažnější problém se podle The Register pokládá zranitelnost v hypervisoru Hyper-V, které umožňuje obejít izolaci hostovaného systému (eskalace „nad virtuální stroj“). Škodlivá aplikace tak může běžet nikoliv je v rámci svého virtuálního stroje, ale ovlivnit i ostatní systémy a celý server (tj. spuštění kódu v rámci hostitelského prostředí).

Dále byly opraveny chyby v systému MS Office, v prohlížečích Internet Explorer i Edge a komunikační platformě Skype. Některé z těchto zranitelností označuje Microsoft jako kritické a umožňují vzdálené spuštění kódu.

Celkem Microsoft v dubnu vydal 13 bulletinů zabezpečení, které látají 40 zranitelností. Výše zmíněného problému v MS Hyper-V se týká balíček oprav MS16-045. Balíček MS16-037 představuje kumulativní aktualizaci pro Internet Explorer, některé z chyb jsou zneužitelné už při návštěvě podvodného webu. Bulletin zabezpečení MS16-037 je podobou aktualizací pro nový prohlížeč Edge. Oprava MS16-042 je určena pro MS Office, zranitelnost (porušení paměti) umožňuje spuštění kódu při otevření podvodného souboru, přičemž jedna z těchto zranitelností se týká i verze MS Office pro Mac OS. Další záplaty jsou určeny pro samotný operační systém včetně jeho rozhraní .NET Framework a OLE.

Microsoft v této souvislosti upozorňuje na kritickou záplatu MS16-039, která se týká všech podporovaných verzí Windows i dalších produktů (Skype for Business, MS Lync...). Tuto chybu lze zneužít pomocí škodlivých grafických souborů nebo fontů, vzdálený útočník pak získá plná práva k systému. Při použití příslušných fontů ke kompromitaci stačí, aby oběť navštívila podvodný web.

Žádná z uvedených zranitelností není podle všeho zatím aktivně zneužívána.

Zajímavé je, že Microsoft opravil také velmi medializovanou chybu BadLock, která se týká kromě Windows i systémů Samba (O chybě BadLock viz jeden z předcházejících bezpečnostních přehledů http://www.itbiz.cz/clanky/bezpecnostni-prehled-hackerska-soutez-pwn2own). Příslušná záplata (MS16-047) ale jako kritická označena není, jako hlavní možné zneužití se v tomto případě uvádějí útoky typu man-in-the-middle nebo DoS. Příslušnou opravu vydali i vývojáři Samby, ovšem pouze pro verze 4.2 a novější. Zranitelnost se přitom týká i starších verzí od 3.6. Podle průzkumu na ZDNet pokládá ovšem většina komentátorů dění kolem chyby BadLock spíše za humbuk a samotná záležitost není svou závažností vůbec srovnatelná se zranitelností HeartBleed, jak se snažili prezentovat její objevitelé.

Adobe současně s Microsoftem vydala záplaty pro přehrávač Flash Player i další produkty (Creative Cloud a server RoboHelp). Opravy přehrávače Flash Player jsou i součástí dubnových záplat Microsoftu (kritický bulletin zabezpečení MS16-050).


Komentáře

RSS 

Komentujeme

Sociální sítě pro B2B? Bláznovství!

Richard Jan Voigts , 17. květen 2017 07:00
Richard Jan Voigts

Agentura Ami Digital provedla průzkum ohledně využívání sociálních sítí v České republice. Ami Digit...

Více





RSS 

Zprávičky

Čínská firma chce vyvinout dron, který unese přes tunu nákladu

ČTK , 24. květen 2017 08:00

Jeden z největších čínských internetových prodejců JD.com oznámil, že se chystá vyvinout bezpilotní ...

Více 0 komentářů

it-sa 2017 poprvé ve dvou halách

ITBiz.cz , 23. květen 2017 17:00

Veletrh zabezpečení IT s největším počtem vystavovatelů v Evropě dál roste. Pět měsíců před konáním ...

Více 0 komentářů

Gartner: Prodej chytrých telefonů ve čtvrtletí stoupl o 9,1 %

ČTK , 23. květen 2017 12:00

Vede Samsung a Apple, ale jejich podíl klesá, roste Huawei na třetím místě....

Více 0 komentářů

Starší zprávičky

Prudký vzestup mobilního ransomwaru

Pavel Houser , 23. květen 2017 10:21

Congur a Fusob. V průběhu prvních tří měsíců tohoto roku se objem mobilního ransomwaru více než ztro...

Více 0 komentářů

Ruská policie zadržela podezřelé z útoku na Sberbank

ČTK , 23. květen 2017 08:00

Ruští hackeři s využitím viru nasazeného do mobilů se systémem Android ukradli asi milion dolarů (24...

Více 0 komentářů

Hodnota bitcoinu stoupla na nový rekord přes 2100 dolarů

ČTK , 22. květen 2017 18:49

Posilování napomáhají mj. spekulace, že americká Komise pro cenné papíry a burzy (SEC) by mohla změn...

Více 0 komentářů

Firewall pro koncentraci VPN

Pavel Houser , 22. květen 2017 17:29

Zyxel Communications představil hardwarový VPN firewall USG2200-VPN. Zákazníkům má toto řešení přiné...

Více 2 komentářů