Výživné úterý: záplaty pro Windows, prohlížeče Microsoftu, Android i Flash Player

Pavel Houser , 09. listopad 2016 09:00 0 komentářů

Druhé úterý v měsíci vydávají své bezpečnostní opravy Microsoft a Adobe, tentokrát se připojil i Google.

Začněme Microsoftem. Publikováno bylo celkem 14 bulletinů zabezpečení, které se od tohoto měsíce stahují v jediné aktualizaci. Za kritické Microsoft označuje 6 z nich.

Konkrétně se jedná o:

MS16-129: kumulativní aktualizace pro prohlížeč Edge, opravuje 17 chyb, z nichž 12 lze zneužít ke vzdálenému spuštění kódu.

MS16-130: látá řadu kritických chyb ve Windows.

MS16-131: kritická oprava pro Microsoft Video Control; ke vzdálenému spuštění kódu stačí podvodný mediální soubor vložený na web nebo do-e-mailu.

MS16-132: kritická oprava pro Microsoft Graphics Component, ke vzdálenému spuštění kódu může dojít kvůli chybě při zpracování fontů (web, e-mail, textový editor...).

MS16-141: distribuce opravy pro Adobe Flash Player Microsoftem (viz dále).

MS16-142: kumulativní aktualizace pro Internet Explorer, opět hrozí vzdálené spuštění kódu.

Za speciální zmínku ještě stojí bulletin MS16-135, který se týká ovladače v režimu jádra Windows (Windows Kernel Mode Driver). Detaily o této chybě již publikoval Google, což vedlo ke sporu mezi oběma společnostmi (viz předcházející bezpečnostní přehled). Problém ovšem umožňoval pouze eskalaci oprávnění ze strany škodlivé aplikace, oprava nakonec ani nemá status kritické.

Další důležité opravy jsou MS16-133 (pro MS Office včetně verze pro Mac; zneužití hrozí odepřením služby, únikem informací, za určitých podmínek může ale otevření podvodného souboru ve formátu MS Office způsobit opět i spuštění kódu), MS16-134 (Windows Common Log File System Driver, eskalace oprávnění, aplikace může ovládnout systém), MS16-136 (eskalace oprávnění v MS SQL Serveru), MS16-137 (Windows Authentication Methods, opět eskalace oprávnění či odepření služby), MS16-138 (Microsoft Virtual Hard Disk Driver), MS16-139 (jádro Windows) a MS16-139 (Windows Boot Manager; umožňuje obejít kontrolu integrity kódu a dostat do systému vlastní aplikace či ovladače, zneužití ale vyžaduje fyzický přístup k systému). Je samozřejmé, že podle okolností může mít i řada těchto chyb (např. v SQL Serveru) z pohledu správců podnikových sítí kritický význam.

Na řadě je Adobe. Ta vydala opravu pro Flash Player, která látá 9 bezpečnostních chyb; aktualizace jsou určeny pro všechny verze přehrávače (Windows, MacOS, Linux). Bez nasazení oprav jako obvykle hrozí vzdálené spuštění kódu už při spuštění podvodného flashového souboru. Uživatelům Microsoft Internet Exploreru a Chrome se příslušný plug-in aktualizuje automaticky.

Další opravy byly uvolněny pro aplikaci Adobe Connect.

A nakonec, Google vydal opravy celkem 82 zranitelností v Androidu. Řada z nich zde byla již zmíněna, např. problém v součásti Mediaserver (zde nebo zranitelnost zařízení využívajících čipsety Qualcomm (zde).

Neopravena zůstává chyba Dirty COW (zranitelnost v jádře Linuxu, která umožňuje eskalaci oprávnění, tj. nainstalovaná aplikace může získat práva roota), na ni má dojít příští měsíc.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů