Biuletyn bezpieczeństwa Microsoft 10/2015

Październikowe biuletyny bezpieczeństwa Microsoftu przypominają, że współczesne metodyki programowania wcale nie gwarantują tworzenia jakościowego kodu, a wręcz przeciwnie. Nawet kluczowe oprogramowanie systemowe może być pełne błędów. Tym razem załatano 33 luki, tkwiące w przeglądarkach Internet Explorer i Microsoft Edge, silniku VBScript/Jscript, powłoce Windows, jądrze Windows i pakiecie biurowym Office.

Biuletyn MS15-106 to zbiorcza poprawka dla wszystkich wersji Internet Explorera. Usuwa łącznie aż 14 usterek z tej przeglądarki, określonych jako poważne lub krytyczne, pozwalających na zdalny atak za pomocą odpowiednio spreparowanej strony internetowej, poprzez wywołanie błędów pamięci, elewację uprawnień, obejście zabezpieczeń ASLR i ujawnienie danych użytkownika.

Znacznie spokojniej jest w wypadku przeglądarki Edge. Biuletyn MS15-107 wspomina wyłącznie o dwóch zagrożeniach, związanych z możliwością wycieku zawartości pamięci oraz obejścia filtrów chroniących przed atakiem XSS.

Niezależnie od przeglądarek wspomniano o usterkach w silnikach skryptowych, używanych nie tylko przez przeglądarki. Cztery błędy w VBScripcie i Jscripcie dotyczą możliwości uszkodzenia pamięci, obejścia zabezpieczeń ASLR i wycieku danych. Opisano je dokładnie w biuletynie MS15-108.

Powłoka Windows (Windows Shell) też podatna była na zdalny atak, czy to przez odpowiednio spreparowaną stronę internetową, czy przez złośliwy pasek narzędziowy. Co ciekawe, dotyczy to wszystkich wersji systemu, od Visty po Windows 10 (nie wspominając już o Windows Serverze), co każe się zastanawiać, ile kodu na zasadzie kopiuj-wklej przechodzi między kolejnymi wydaniami „okienek”. Szczegóły dotyczące tego zagrożenia znajdziecie w biuletynie MS15-109.

Dziury w powłoce to jedno, ale dziury w jądrze? Biuletyn MS15-111 opisuje lukę pozwalającą obejść zabezpieczenia procesu TrustedBoot oraz wgrać (np. szpiegowskie) pliki uruchamialne i sterowniki na urządzenie ofiary. Na szczęście wymaga to fizycznego dostępu, na nieszczęście, dla instytucjonalnego napastnika uzyskanie fizycznego dostępu nie stanowi raczej problemu. Druga poważna luka dotyczy elewacji uprawnień i uruchomienia dowolnego kodu podczas tworzenia punktów montowania woluminów, trzy kolejne to luki dotyczące sposobu obsługi obiektów w pamięci, za pomocą których można uruchomić dowolny kod w trybie kernela, oddając mu tym samym totalną kontrolę nad systemem.

Na sam koniec biuletyn MS15-110, który wspomina o zagrożeniach dla użytkowników Excela i Sharepoint Severa. Tutaj otworzenie złośliwego arkusza kalkulacyjnego pozwolić może na wykonanie zawartego w nim kodu JavaScriptu, z uprawnieniami zalogowanego użytkownika. Microsoft wyjaśnia, że pozwala to na wykradzenie wrażliwych infromacji, w tym ciasteczek uwierzytelniania do serwisów internetowych.

Wiele z załatanych wraz z październikowymi biuletynami luk zostało już publicznie ujawnionych, należy się spodziewać więc wykorzystujących je ataków. Co za tym idzie, zalecamy skorzystanie z tego, co oferuje Windows Update. Wielu użytkowników na forach skarży się, że wraz z łatkami bezpieczeństwa dostaje jednak poprawki KB3035583 i KB3083710, które będą próbowały zaktualizować starsze wersje systemu do Windows 10. Jeśli więc zdecydujecie się aktualizację, uważajcie na to, co Microsoft próbuje Wam przy okazji dostarczyć.

Na koniec ciekawostka dla użytkowników pakietu Office na Makach. Redmond przygotowało też łatki dla Outlooka, PowerPointa, Worda, Excela i OneNote, dostępne przez Microsoft Download Center. Ich rozmiar budzi zdumienie – przykładowo „łatka” do Worda (wersja 15.15.0) ma zaledwie 871 MB, a łatka do OneNote 345 MB. O co chodzi? Czyżby Microsoft nie był w stanie dostarczyć na Maka łatki poprawiającej istniejącą instalację? Jako poprawki dostarczono bowiem kompletne instalatory, coś raczej niespotykanego w świecie Apple. Microsoftowi można poradzić jedynie, by zainteresował się dostępnym na wolnej licencji MIT frameworkiem Sparkle, który rozwiązuje wszystkie problemy z aktualizacją oprogramowania na Makach.