Biuletyn bezpieczeństwa Microsoft 11/2014

Lepiej późno niż wcale, szczególnie jeśli chodzi o aktualizacje systemu Windows. Przygotowaliśmy podsumowanie dotyczące wydanych w ubiegłym tygodniu biuletynów zabezpieczeń Microsoftu. Gigant z Redmond uraczył nas w listopadzie 14 aktualizacjami, łatając 33 luki, w tym kilka naprawdę poważnych.

Biuletyny krytyczne

Biuletyn MS14-064

Jest to jeden z najważniejszych listopadowych biuletynów, który usuwa dwie luki w stosowanym przez Microsoft mechanizmie osadzania obiektów (ang. Object Linking and Embedding, OLE). Jedna z nich, oznaczona jako CVE-2014-6332, umoż­liwia ataki typu drive­‑by down­load w celu przemycenia dowol­nego kodu, który zostanie wykonany z uprawnieniami użytkownika korzystającego z podatnej aplikacji. Programem najbardziej narażonym na atak jest Internet Explorer, a moż­liwe scenariusze obej­mują infekowanie kom­putera wirusami, instalowanie oprogramowania szpiegującego i przej­mowanie kon­troli nad sesją użyt­kow­nika w celu wykradania lub usuwania istot­nych danych (bardziej szczegółowo ten błąd omawia BAD[SECTOR].PL - zob. Krytyczna usterka we wszystkich systemach Windows). Aktualizację powinni zainstalować użytkownicy każdej z wersji Windowsa.

Biuletyn MS14-065

Kolejny z biuletynów dostarcza aktualizację zbiorczą dla Internet Explorera, usuwając przy tym 17 luk, w tym takie, które umożliwiają zdalne wykonanie kodu. Błędy występują we wszystkich wersjach przeglądarki - od „szóstki” (wciąż jeszcze używanej w systemie Windows Server 2003) po „jedenastkę” udostępnioną wraz z Windowsem 8.1. Poprawkę warto zainstalować, nawet jeżeli na co dzień nie używamy IE. Jego silnik renderujący został tak zaprojektowany, aby twórcy oprogramowania mogli dodawać funkcjonalność przeglądarki do swoich własnych aplikacji i wielu z tej opcji korzysta. Lepiej nie narażać się na atak i nie ignorować udostępnionej aktualizacji.

Biuletyn MS14-066

W listopadzie warto zwrócić baczną uwagę także na biuletyn usuwający lukę w komponencie Schannel, który służy do zestawiania bezpiecznych, szyfrowanych połączeń. Luka, oznaczona jako CVE-2014-6321, umożliwia błędne filtrowanie pakietów, co w efekcie może doprowadzić do wykonania dowolnego kodu (więcej szczegółów podaje Niebezpiecznik - zob. Poważny błąd w Windows - jak najszybciej wgrajcie aktualizacje!). Aktualizacja jest przeznaczona dla wszystkich wersji Windowsa, a z jej instalacją nie należy zwlekać.

Biuletyn MS14-067

Ostatni z wydanych w ubiegłym tygodniu biuletynów krytycznych dotyczy podatności w oprogramowaniu Microsoft XML Core Services (MSXML). Umożliwia ona zdalne wykonanie kodu, jeżeli użytkownik odwiedzi specjalnie spreparowaną stronę WWW przy użyciu programu Internet Explorer. Problem występuje we wszystkich wersjach systemu Windows, zarówno klienckich, jak i serwerowych.

Biuletyny ważne

Biuletyn MS14-069

Następny biuletyn usuwa 3 luki w edytorze tekstu Word. Umożliwiają one zdalne wykonanie kodu. Zespół ISC zakwalifikował ten biuletyn jako krytyczny (w odniesieniu do klienckich wersji systemu Windows). Microsoft nadał mu jednak status ważnego, mając na względzie prawdopodobnie to, że usterki występują tylko w oprogramowaniu Microsoft Office 2007, Microsoft Word Viewer oraz Microsoft Office Compatibility Pack.

Biuletyn MS14-070

Ten z kolei biuletyn usuwa lukę w protokole TCP/IP, która umożliwia podniesienie poziomu uprawnień. W tym celu atakujący musi zalogować się w podatnym systemie i uruchomić specjalnie spreparowaną aplikację. Na atak podatni są użytkownicy systemu Windows Server 2003.

Biuletyn MS14-071

Kolejny biuletyn łata dziurę w usłudze Microsoft Windows Audio. Udany atak z wykorzystaniem tej luki umożliwia podniesienie poziomu uprawnień. Aby do tego doszło, cyberprzestępca musi - używając jakiejś innej luki - uruchomić w podatnym systemie złośliwy kod. Aktualizację powinni zainstalować użytkownicy wszystkich wersji Windowsa.

Biuletyn MS14-072

Również ten biuletyn usuwa lukę, która pozwala atakującemu na podniesienie poziomu uprawnień. Błąd występuje w oprogramowaniu .NET Framework. Aby atak się powiódł, konieczne jest wysłanie specjalnie spreparowanego żądania do podatnej maszyny wykorzystującej .NET Remoting. Zainstalowania poprawki wymagają wszystkie wersje platformy.

Biuletyn MS14-073

Następny biuletyn likwiduję lukę w oprogramowaniu Microsoft SharePoint Foundation 2010. Umożliwia ona podniesienie poziomu uprawnień - w tym celu atakujący musi uruchomić odpowiednio przygotowany kod. Aby do tego doszło, konieczne jest zwabienie potencjalnej ofiary na specjalnie spreparowaną stronę internetową. Istnieje także możliwość „zaszycia” złośliwego kodu w reklamie wyświetlanej na legalnej, nieszkodliwej stronie.

Biuletyn MS14-074

Kolejny z listopadowych biuletynów likwiduje usterkę, która umożliwia obejście zabezpieczeń stosowanych w protokole RDP (ang. Remote Desktop Protocol). Mimo że protokół RDP nie jest domyślnie włączony w żadnym systemie operacyjnym Microsoftu, poprawkę powinni zainstalować użytkownicy wszystkich wersji Windowsa.

Biuletyn MS14-076

Natomiast ten biuletyn dostarcza aktualizację, która usuwa lukę pozwalającą obejść zabezpieczenia zaimplementowane w oprogramowaniu IIS (ang. Internet Information Services). Zagrożone wersje to 8.0 i 8.5 wykorzystywane w systemach Windows 8.0 i 8.1, a także Windows Server 2012 i 2012 R2.

Biuletyn MS14-077

Ostatni z biuletynów oznaczonych jako ważne dostarcza poprawkę usuwającą błąd w Active Directory Federation Services (AD FS). Umożliwia on ujawnienie informacji, jeśli użytkownik nie zamknie przeglądarki zaraz po wylogowaniu się z webaplikacji. Na atak podatne są wersje 2.0, 2.1 i 3.0 wykorzystywane w systemach Windows Server 2008, 2008 R2, 2012 i 2012 R2.

Biuletyny średnio ważne

Biuletyn MS14-078

W tym miesiącu Microsoft przygotował również dwa biuletyny średnio ważne (ang. moderate). Pierwszy z nich usuwa lukę w edytorze IME, który umożliwia wprowadzanie tekstu w języku japońskim, konwertując naciśnięcia klawiszy na odpowiednie znaki. Błąd pozwala atakującemu podnieść uprawnienia zalogowanego użytkownika i występuje w systemach Windows Vista, Windows 7 oraz Windows Server 2003, 2008 i 2008 R2 z doinstalowanym Input Method Editorem.

Biuletyn MS14-079

Drugi średnio ważny biuletyn dotyczy sterowników trybu jądra i likwiduje usterkę, która umożliwia przeprowadzenie ataku typu odmowa usługi (ang. Denial of Service, DoS), jeśli użytkownik odwiedzi stronę, na której osadzono specjalnie spreparowaną czcionkę TrueType. Scenariuszy ataku może być zresztą więcej, a są na niego podatniużytkownicy wszystkich wersji Windowsa.