Výživné úterý: záplaty pro Windows, prohlížeče Microsoftu, Android i Flash Player

Pavel Houser , 09. listopad 2016 09:00 0 komentářů

Druhé úterý v měsíci vydávají své bezpečnostní opravy Microsoft a Adobe, tentokrát se připojil i Google.

Začněme Microsoftem. Publikováno bylo celkem 14 bulletinů zabezpečení, které se od tohoto měsíce stahují v jediné aktualizaci. Za kritické Microsoft označuje 6 z nich.

Konkrétně se jedná o:

MS16-129: kumulativní aktualizace pro prohlížeč Edge, opravuje 17 chyb, z nichž 12 lze zneužít ke vzdálenému spuštění kódu.

MS16-130: látá řadu kritických chyb ve Windows.

MS16-131: kritická oprava pro Microsoft Video Control; ke vzdálenému spuštění kódu stačí podvodný mediální soubor vložený na web nebo do-e-mailu.

MS16-132: kritická oprava pro Microsoft Graphics Component, ke vzdálenému spuštění kódu může dojít kvůli chybě při zpracování fontů (web, e-mail, textový editor...).

MS16-141: distribuce opravy pro Adobe Flash Player Microsoftem (viz dále).

MS16-142: kumulativní aktualizace pro Internet Explorer, opět hrozí vzdálené spuštění kódu.

Za speciální zmínku ještě stojí bulletin MS16-135, který se týká ovladače v režimu jádra Windows (Windows Kernel Mode Driver). Detaily o této chybě již publikoval Google, což vedlo ke sporu mezi oběma společnostmi (viz předcházející bezpečnostní přehled). Problém ovšem umožňoval pouze eskalaci oprávnění ze strany škodlivé aplikace, oprava nakonec ani nemá status kritické.

Další důležité opravy jsou MS16-133 (pro MS Office včetně verze pro Mac; zneužití hrozí odepřením služby, únikem informací, za určitých podmínek může ale otevření podvodného souboru ve formátu MS Office způsobit opět i spuštění kódu), MS16-134 (Windows Common Log File System Driver, eskalace oprávnění, aplikace může ovládnout systém), MS16-136 (eskalace oprávnění v MS SQL Serveru), MS16-137 (Windows Authentication Methods, opět eskalace oprávnění či odepření služby), MS16-138 (Microsoft Virtual Hard Disk Driver), MS16-139 (jádro Windows) a MS16-139 (Windows Boot Manager; umožňuje obejít kontrolu integrity kódu a dostat do systému vlastní aplikace či ovladače, zneužití ale vyžaduje fyzický přístup k systému). Je samozřejmé, že podle okolností může mít i řada těchto chyb (např. v SQL Serveru) z pohledu správců podnikových sítí kritický význam.

Na řadě je Adobe. Ta vydala opravu pro Flash Player, která látá 9 bezpečnostních chyb; aktualizace jsou určeny pro všechny verze přehrávače (Windows, MacOS, Linux). Bez nasazení oprav jako obvykle hrozí vzdálené spuštění kódu už při spuštění podvodného flashového souboru. Uživatelům Microsoft Internet Exploreru a Chrome se příslušný plug-in aktualizuje automaticky.

Další opravy byly uvolněny pro aplikaci Adobe Connect.

A nakonec, Google vydal opravy celkem 82 zranitelností v Androidu. Řada z nich zde byla již zmíněna, např. problém v součásti Mediaserver (zde nebo zranitelnost zařízení využívajících čipsety Qualcomm (zde).

Neopravena zůstává chyba Dirty COW (zranitelnost v jádře Linuxu, která umožňuje eskalaci oprávnění, tj. nainstalovaná aplikace může získat práva roota), na ni má dojít příští měsíc.


Komentáře

RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více







Kalendář

18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
30. 01. Ecommerce Expo Prague 2018

RSS 

Zprávičky

Bitcoin ztrácí 18 %, dolů ho tlačí obavy z regulace

ČTK , 16. leden 2018 12:18

Trhy se obávají regulace obchodů po oznámení jihokorejského ministra financí....

Více 0 komentářů

Světový trh s polovodiči poroste letos výrazně rychleji

Pavel Houser , 16. leden 2018 10:26

Očekávaný růst souvisí zejména s růstem cen RAM a flash pamětí. Bezpečností slabiny procesorů mohou ...

Více 0 komentářů

Výrobce chytrých telefonů Xiaomi vstupuje na burzu

ČTK , 16. leden 2018 09:00

Někteří analytici hodnotu 100 miliard zpochybňují s argumentem vysoké konkurence na globálním trhu c...

Více 0 komentářů

Starší zprávičky

Internetové bankovnictví používá polovina Evropanů

ČTK , 16. leden 2018 08:00

Česká republika obsadila mezi 28 zeměmi EU spolu s Rakouskem 12. příčku s podílem 57 %....

Více 0 komentářů

Acronis: letos bude ransomware útočit i na IoT zařízení

Pavel Houser , 15. leden 2018 12:28

Ohrožena budou i auta, chytré domácnosti, lékařské přístroje a nositelná elektronika (ransomwear)....

Více 0 komentářů

SoftBank plánuje prodej akcií divize pro mobilní telefony

ČTK , 15. leden 2018 12:18

Prodej akcií divize SoftBank by se mohl stát jednou z největších primárních emisí v Japonsku....

Více 0 komentářů

Vláda projedná novelu zákona o EET do konce února

ČTK , 15. leden 2018 08:00

Ministryně se chce příští týden setkat se zástupci podnikatelských svazů a komor a prodiskutovat s n...

Více 0 komentářů