Výživné úterý: záplaty pro Windows, prohlížeče Microsoftu, Android i Flash Player

Pavel Houser , 09. listopad 2016 09:00 0 komentářů

Druhé úterý v měsíci vydávají své bezpečnostní opravy Microsoft a Adobe, tentokrát se připojil i Google.

Začněme Microsoftem. Publikováno bylo celkem 14 bulletinů zabezpečení, které se od tohoto měsíce stahují v jediné aktualizaci. Za kritické Microsoft označuje 6 z nich.

Konkrétně se jedná o:

MS16-129: kumulativní aktualizace pro prohlížeč Edge, opravuje 17 chyb, z nichž 12 lze zneužít ke vzdálenému spuštění kódu.

MS16-130: látá řadu kritických chyb ve Windows.

MS16-131: kritická oprava pro Microsoft Video Control; ke vzdálenému spuštění kódu stačí podvodný mediální soubor vložený na web nebo do-e-mailu.

MS16-132: kritická oprava pro Microsoft Graphics Component, ke vzdálenému spuštění kódu může dojít kvůli chybě při zpracování fontů (web, e-mail, textový editor...).

MS16-141: distribuce opravy pro Adobe Flash Player Microsoftem (viz dále).

MS16-142: kumulativní aktualizace pro Internet Explorer, opět hrozí vzdálené spuštění kódu.

Za speciální zmínku ještě stojí bulletin MS16-135, který se týká ovladače v režimu jádra Windows (Windows Kernel Mode Driver). Detaily o této chybě již publikoval Google, což vedlo ke sporu mezi oběma společnostmi (viz předcházející bezpečnostní přehled). Problém ovšem umožňoval pouze eskalaci oprávnění ze strany škodlivé aplikace, oprava nakonec ani nemá status kritické.

Další důležité opravy jsou MS16-133 (pro MS Office včetně verze pro Mac; zneužití hrozí odepřením služby, únikem informací, za určitých podmínek může ale otevření podvodného souboru ve formátu MS Office způsobit opět i spuštění kódu), MS16-134 (Windows Common Log File System Driver, eskalace oprávnění, aplikace může ovládnout systém), MS16-136 (eskalace oprávnění v MS SQL Serveru), MS16-137 (Windows Authentication Methods, opět eskalace oprávnění či odepření služby), MS16-138 (Microsoft Virtual Hard Disk Driver), MS16-139 (jádro Windows) a MS16-139 (Windows Boot Manager; umožňuje obejít kontrolu integrity kódu a dostat do systému vlastní aplikace či ovladače, zneužití ale vyžaduje fyzický přístup k systému). Je samozřejmé, že podle okolností může mít i řada těchto chyb (např. v SQL Serveru) z pohledu správců podnikových sítí kritický význam.

Na řadě je Adobe. Ta vydala opravu pro Flash Player, která látá 9 bezpečnostních chyb; aktualizace jsou určeny pro všechny verze přehrávače (Windows, MacOS, Linux). Bez nasazení oprav jako obvykle hrozí vzdálené spuštění kódu už při spuštění podvodného flashového souboru. Uživatelům Microsoft Internet Exploreru a Chrome se příslušný plug-in aktualizuje automaticky.

Další opravy byly uvolněny pro aplikaci Adobe Connect.

A nakonec, Google vydal opravy celkem 82 zranitelností v Androidu. Řada z nich zde byla již zmíněna, např. problém v součásti Mediaserver (zde nebo zranitelnost zařízení využívajících čipsety Qualcomm (zde).

Neopravena zůstává chyba Dirty COW (zranitelnost v jádře Linuxu, která umožňuje eskalaci oprávnění, tj. nainstalovaná aplikace může získat práva roota), na ni má dojít příští měsíc.


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

FabLab: brněnská dílna pro start-upy i technické nadšence

Pavel Houser , 23. duben 2017 09:00

3D dílna nabízí např. laserovou řezačku, 3D tiskárny a 3D skener. FabLab Brno je součástí celosvětov...

Více 0 komentářů

3 % Čechů již byla okradena při platbách online

Pavel Houser , 22. duben 2017 12:00

Ve většině případů šlo o částku do 5 000 Kč....

Více 0 komentářů

Senát zrušil plošné výjimky ze zveřejňování smluv v registru

ČTK , 22. duben 2017 10:00

Senát dnes schválil zrušení plošných výjimek ze zveřejňování smluv v jejich registru. Postavil se dn...

Více 0 komentářů

Starší zprávičky

Polovina českých měst prý uvažuje o využití IoT

ITBiz.cz , 21. duben 2017 14:00

Sedm procent českých měst a obcí už využívá internet věcí (IoT) pro efektivnější samosprávu, nejčast...

Více 0 komentářů

Asociace slovenských operátorů je proti vyřazení českých stanic

ČTK , 21. duben 2017 13:00

Za přehnaný označila asociace sdružující slovenské kabelové operátory (APKT) požadavek tamní soukrom...

Více 0 komentářů

Yoga A12, nový tablet do firem

Pavel Houser , 21. duben 2017 10:00

Společnost Lenovo představila další přírůstek do své rodiny zařízení s operačním systémem Android. ...

Více 1 komentářů

Policie eviduje sebepoškozování kvůli internetové hře

ČTK , 21. duben 2017 07:00

Policie zaznamenala několik případů sebepoškození pořezáním v rámci internetové hry Modrá velryba. N...

Více 2 komentářů