Záplaty Microsoftu a Adobe raději neodkládat

Pavel Houser , 14. prosinec 2015 07:00 0 komentářů

Prosincové opravy Microsoftu, uvolněné jako vždy druhé úterý v měsíci, látají 71 bezpečnostních zranitelností.

Záplaty jsou určené pro pro klientské i serverové verze Windows, MS Office, Internet Explorer a nový prohlížeč Edge. Oprava MS15-135 pro jádro Windows řeší zranitelnost CVE-2015-6175, která je již zneužívána. Sama o sobě však umožňuje pouze eskalaci uživatelských oprávnění, tj. k ovládnutí systému/spuštění kódu musí útočník tuto chybu zkombinovat s jinými postupy.

Rychle nasadit je třeba bulletin zabezpečení MS15-131; příslušná zranitelnost v MS Office je také již zneužívána a v tomto případě hrozí vzdálené spuštění kódu bez nutnosti další interakce uživatele; oprava je určena i pro verzi MS Office pro Mac OS X. Chyba MS15-128 (CVE-2015-6106, CVE-2015-6107, CVE-2015-6108) souvisí s porušením paměti, zranitelné jsou veškeré podporované verze Windows od Vista po Windows 10 včetně serverových edicí. Zranitelnost souvisí se zpracováním fontů, lze ji zneužít pomocí speciálně upravené webové stránky i zaslaného dokumentu.

Záplata MS15-124 představuje kumulativní aktualizaci pro Internet Explorer, která látá celkem 30 chyb, řada z nich je kritických (spuštění kódu, eskalace oprávnění, únik citlivých dat). Pro nový prohlížeč Edge je určena kumulativní aktualizace MS15-125. Jako obvykle, u oprav webových prohlížečů se doporučuje neotálet, protože pokusy o zneužití přijdou nejspíš rychle.

Současně s Microsoftem vydala bezpečnostní opravy i Adobe. Obří kumulativní záplata pro přehrávač Flash Player látá desítky chyb uvedených v seznamech CVE, z toho 75 lze zneužít ke vzdálenému spuštění kódu. Opravy jsou určeny pro všechny verze přehrávače (Windows, Linux, Mac OS X, Android).

V této souvislosti se opět objevují doporučení zakázat Flash na úrovni webových prohlížečů (což nicméně není úplné řešení, protože obsah Flash lze vkládat i do jiných formátů než jen do HTML/XML, např. do dokumentů), vývojářům se pak radí přeorientovat se na HMTL 5.


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Toshiba chce prodat čipovou divizi fondu Bain

ČTK , 21. září 2017 09:00

Ještě v úterý se zdálo, že favoritem je konsorcium vedené společností Western Digital....

Více 0 komentářů

Amazon chystá chytré brýle, první vlastní nositelnou elektroniku

ČTK , 21. září 2017 08:00

Společnost chystá i rozšíření svého systému SmartHome......

Více 0 komentářů

Google prý chce koupit HTC

ČTK , 20. září 2017 19:18

Společnost dnes tchajwanské burze cenných papírů oznámila, že pozastavuje obchody svými akciemi....

Více 0 komentářů

Starší zprávičky

Američtí operátoři T-Mobile US a Sprint jednají o fúzi

ČTK , 20. září 2017 11:00

Tržní hodnota T-Mobile US se pohybuje kolem 51 miliard dolarů hodnota Sprintu dosahuje zhruba 30 mil...

Více 0 komentářů

EK chce vyšší pravomoci pro řešení kybernetických útoků

ČTK , 20. září 2017 09:00

Celounijní certifikace by se měla týkat miliardy zařízení kritické infrastruktury....

Více 0 komentářů

Oblíbený nástroj CCleaner obsahoval malware

Pavel Houser , 19. září 2017 17:17

Ohroženy mohou být miliony uživatelů. Zranitelné jsou verze CCleaner 5.33 a CCleaner Cloud 1.07.3191...

Více 1 komentářů

EK navrhuje nová pravidla pro pohyb dat neosobního charakteru

ČTK , 19. září 2017 15:26

Členské státy EU by už podle návrhu neměly nutit organizace, aby uchovávaly či zpracovávaly data na ...

Více 0 komentářů