Biuletyn bezpieczeństwa Microsoft 12/2016

Jak to zwykle bywa, jedną z głównych luk w Windowsie jest wbudowana przeglądarka. MS16-144 dotyczy łącznie ośmiu błędów w Internet Explorerze – dwa tkwią w silniku skryptowym, dwa związane są z obsługą obiektów w pamięci, jeden pozwala na obejście zabezpieczeń polityki Same Origin, a trzy na wyciek informacji. Spośród tych błędów, publicznie ujawnione zostały CVE-2016-7282, CVE-2016-7281, oraz co najgorsze CVE-2016-7202, pozwalający na zdalne uruchomienie kodu.

MS16-145 to zbiór poprawek dla przeglądarki Edge. Tu też jest nieźle. W samym silniku skryptowym pięć błędów związanych z uszkodzeniem pamięci, a do tego błąd pozwalający na obejście polityki Same Origin, trzy błędy związane z wyciekiem informacji, i dwa z niewłaściwą obsługą obiektów w pamięci. Trzy spośród tych błędów zostały publicznie ujawnione – CVE-2016-7206, CVE-2016-7282, oraz CVE-2016-7281, Microsoft zapewnia jednak, że nikt z nich nie korzysta w atakach na użytkowników jego przeglądarki.

Były przeglądarki, musi być nasz ulubiony Microsoft Graphics Component. MS16-146 opisuje dwa błędy związane z obsługą obiektów w pamięci pozwalają na zdalne uruchomienie kodu, oraz jeden związany z wyciekiem informacji. Właściwie należałoby dodać do tej kategorii też MS16-147, który dotyczy mechanizmu Uniscribe, wykorzystywanego do rysowania skomplikowanych fontów. Taki skomplikowany typograficznie font pozwala w Windowsach na zdalne uruchomienie kodu.

Swoje problemy ma też Microsoft Office. W biuletynie MS16-148 załatano łącznie 16 podatności, związanych z podniesieniem uprawnień w module automatycznej aktualizacji, licznymi wyciekami informacji, obejściami zabezpieczeń, uszkodzeniami pamięci, a nawet możliwością ładowania obcego kodu przez podstawioną bibliotekę DLL. Uwaga, niektóre z tych błędów dotyczą też użytkowników Office dla Maka, jedna z nich, CVE-2016-7298, pozwala nawet na zdalne uruchomienie kodu na komputerach Apple.

Biuletyn MS16-154 to gościnnie występujące aktualizacje Flash Playera. Łącznie siedem błędów use-after-free pozwalających na zdalne uruchomienie kodu, cztery błędy przepełnienia buforu, pięć błędów uszkodzeń pamięci, i jeden błąd pozwalający na obejscie zabezpieczeń. Zamiast tych wszystkich poprawek, może po prostu Microsoft powinien wysłać nam łatkę raz a dobrze usuwającą z systemu Flash Playera? Tego nie da się przecież naprawic.

Oprócz tych krytycznych biuletynów dostajemy sześć, które określono jako ważne. I tak kolejno MS16-149 to błędy w sterowniku kryptografii, które pozwalają na ujawnienie informacji, oraz błędy w instalatorze Windows, pozwalające na podwyższenie uprawnień. MS16-150 to dotyczy błędu w Windows Secure Kernel Mode, pozwalającym na podwyższenie uprawnień. MS16-151 naprawia zaś błędy w sterownikach pracujących w trybie kernela – i tutaj pozwalają one na podwyższenie uprawnień.

Dalej mamy MS16-152, dotyczący błędnej obsługi przez kernel NT wyjątków Page Fault (błędów stronicowania), co prowadzić może do ujawnienia informacji, MS16-153 dotyczy wycieków informacji ze sterownika mechanizmu logów systemowych, a MS16-155 to zbiorcza aktualizacja .NET Frameworka, związana z możliwością wycieku danych przez Framework Data Provider for SQL Server.

To wszystko na 2016 rok, który zakończył się wydaniem łącznie 155 biuletynów bezpieczeństwa, o 20% więcej niż w roku poprzednim. Zapraszamy do łatania Windowsów w roku następnym, już bez biuletynów. Zastąpi je Microsoft Security Response Center, który informacje o bezpieczeństwie pozwoli wygodnie sortować, filtrować i przeszukiwać.