<![CDATA[Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety •

<![CDATA[Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • - Biuletyny zabezpieczeń Microsoft]]> https://windows7forum.pl/ Sun, 31 May 2026 18:49:28 +0000 MyBB <![CDATA[Biuletyn bezpieczeństwa Microsoft 12/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-12-2016-51121-t Thu, 15 Dec 2016 06:54:21 +0100 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-12-2016-51121-t To już ostatnia w tym roku runda łatania Windowsa. Dostaliśmy od Microsoftu 12 grudniowych biuletynów bezpieczeństwa, w tym 6 krytycznych. Z tych łatek lepiej skorzystać jak najszybciej, gdyż kilka z podatności jest już publicznie znanych, i wykorzystujących je ataków należy spodziewać się lada moment (producent Windowsów twierdzi, że ich zastosowania jeszcze nie odnotowano).

Jak to zwykle bywa, jedną z głównych luk w Windowsie jest wbudowana przeglądarka. MS16-144 dotyczy łącznie ośmiu błędów w Internet Explorerze – dwa tkwią w silniku skryptowym, dwa związane są z obsługą obiektów w pamięci, jeden pozwala na obejście zabezpieczeń polityki Same Origin, a trzy na wyciek informacji. Spośród tych błędów, publicznie ujawnione zostały CVE-2016-7282, CVE-2016-7281, oraz co najgorsze CVE-2016-7202, pozwalający na zdalne uruchomienie kodu.

MS16-145 to zbiór poprawek dla przeglądarki Edge. Tu też jest nieźle. W samym silniku skryptowym pięć błędów związanych z uszkodzeniem pamięci, a do tego błąd pozwalający na obejście polityki Same Origin, trzy błędy związane z wyciekiem informacji, i dwa z niewłaściwą obsługą obiektów w pamięci. Trzy spośród tych błędów zostały publicznie ujawnione – CVE-2016-7206, CVE-2016-7282, oraz CVE-2016-7281, Microsoft zapewnia jednak, że nikt z nich nie korzysta w atakach na użytkowników jego przeglądarki.

Były przeglądarki, musi być nasz ulubiony Microsoft Graphics Component. MS16-146 opisuje dwa błędy związane z obsługą obiektów w pamięci pozwalają na zdalne uruchomienie kodu, oraz jeden związany z wyciekiem informacji. Właściwie należałoby dodać do tej kategorii też MS16-147, który dotyczy mechanizmu Uniscribe, wykorzystywanego do rysowania skomplikowanych fontów. Taki skomplikowany typograficznie font pozwala w Windowsach na zdalne uruchomienie kodu.

Swoje problemy ma też Microsoft Office. W biuletynie MS16-148 załatano łącznie 16 podatności, związanych z podniesieniem uprawnień w module automatycznej aktualizacji, licznymi wyciekami informacji, obejściami zabezpieczeń, uszkodzeniami pamięci, a nawet możliwością ładowania obcego kodu przez podstawioną bibliotekę DLL. Uwaga, niektóre z tych błędów dotyczą też użytkowników Office dla Maka, jedna z nich, CVE-2016-7298, pozwala nawet na zdalne uruchomienie kodu na komputerach Apple.

Biuletyn MS16-154 to gościnnie występujące aktualizacje Flash Playera. Łącznie siedem błędów use-after-free pozwalających na zdalne uruchomienie kodu, cztery błędy przepełnienia buforu, pięć błędów uszkodzeń pamięci, i jeden błąd pozwalający na obejscie zabezpieczeń. Zamiast tych wszystkich poprawek, może po prostu Microsoft powinien wysłać nam łatkę raz a dobrze usuwającą z systemu Flash Playera? Tego nie da się przecież naprawic.

Oprócz tych krytycznych biuletynów dostajemy sześć, które określono jako ważne. I tak kolejno MS16-149 to błędy w sterowniku kryptografii, które pozwalają na ujawnienie informacji, oraz błędy w instalatorze Windows, pozwalające na podwyższenie uprawnień. MS16-150 to dotyczy błędu w Windows Secure Kernel Mode, pozwalającym na podwyższenie uprawnień. MS16-151 naprawia zaś błędy w sterownikach pracujących w trybie kernela – i tutaj pozwalają one na podwyższenie uprawnień.

Dalej mamy MS16-152, dotyczący błędnej obsługi przez kernel NT wyjątków Page Fault (błędów stronicowania), co prowadzić może do ujawnienia informacji, MS16-153 dotyczy wycieków informacji ze sterownika mechanizmu logów systemowych, a MS16-155 to zbiorcza aktualizacja .NET Frameworka, związana z możliwością wycieku danych przez Framework Data Provider for SQL Server.

To wszystko na 2016 rok, który zakończył się wydaniem łącznie 155 biuletynów bezpieczeństwa, o 20% więcej niż w roku poprzednim. Zapraszamy do łatania Windowsów w roku następnym, już bez biuletynów. Zastąpi je Microsoft Security Response Center, który informacje o bezpieczeństwie pozwoli wygodnie sortować, filtrować i przeszukiwać.

Za: dobreprogramy.pl]]> To już ostatnia w tym roku runda łatania Windowsa. Dostaliśmy od Microsoftu 12 grudniowych biuletynów bezpieczeństwa, w tym 6 krytycznych. Z tych łatek lepiej skorzystać jak najszybciej, gdyż kilka z podatności jest już publicznie znanych, i wykorzystujących je ataków należy spodziewać się lada moment (producent Windowsów twierdzi, że ich zastosowania jeszcze nie odnotowano).

Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 11/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-11-2016-50997-t Thu, 10 Nov 2016 07:12:20 +0100 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-11-2016-50997-t
Edge to już więcej niż Internet Explorer z nowym UI

Przejdźmy jednak do sedna sprawy, ponieważ bez tych nowych łatek korzystanie z Windowsów jest ryzykowne.

Spośród 14 biuletynów, sześć zostało określonych jako krytyczne, zacznijmy więc od nich:

MS16-129 to zbiorcza łatka dla przeglądarki Edge. Łata aż 17 różnych dziur, jest wśród nich 12 podatności pozwalających na zdalne uruchomienie kodu, związanych zarówno z uszkodzeniami pamięci jak i błędnm przetwarzaniem danych przez silnik skryptowy. Cztery luki dotyczą wycieków wrażliwych informacji, jedna zaś możliwości fałszowania odpowiedzi HTTP i przekierowania użytkownika na złośliwe strony.

MS16-130 naprawia błędy w ładowaniu bibliotek DLL przez moduł WIME (Windows Input Method Editor) oraz działaniu Harmonogramu Zadań oraz renderowania pliku obrazu. Wykorzystując je, napastnik może zarówno zdalnie uruchomić kod, jak i podwyższyć jego uprawnienia do poziomu administratora.

MS16-131 jest związany z komponentem Microsoft Video Control. Odpowiednio spreparowany klip wideo może zawierać kod, który zostanie uruchomiony z uprawnieniami zalogowanego użytkownika, wykorzystując błąd w przetwarzaniu obiektów w pamięci. Oczywiście należy w tym celu nakłonić użytkownika do otworzenia pliku, co nie jest jednak trudne – ilu Zwykłych Użytkowników odmówi sobie kliknięcia w filmik o nazwie „uroczy kotek liże łapkę.avi”?

MS16-132 – no cóż, drugi wtorek miesiąca byłby nudny bez luk w Microsoft Graphics Component. Znowu oczywiście chodzi o błąd w obsłudze fontów, ale nie tylko, błędy w przetwarzaniu danych znaleziono też w menedżerze animacji i bibliotece mediów. Wszystkie one pozwalają na zdalne uruchomienie kodu. Uwaga – Microsoft utrzymuje, że żaden z tych błędów nie jest exploitowany. Badacze z firmy Qualys twierdzą, że to nieprawda – luka CVE-2016-7256 w menedżerze fontów OpenType to 0-day. Co więcej, tkwi tam jeszcze jeden błąd – jego wykorzystanie pozwala napastnikowi na pozyskanie wrażliwych informacji o systemie.

MS16-141 to aktualizacja wbudowanego komponentu Adobe Flash, która zawiera dziewięć łatek opublikowanych przez Adobe, wszystkie oczywiście pozwalają na zdalne uruchamianie kodu.

MS16-142 to zbiorcza aktualizacja bezpieczeństwa dla Internet Explorera, naprawiająca problemy z obsługą obiektów w pamięci i wykorzystaniem filtrów XSS przy przetwarzaniu wyrażeń regularnych. Znów mamy do czynienia z możliwością zdalnego uruchomienia kodu. Warto zauważyć, że tym razem biuletyn dla IE nie pokrywa się zawartością z biuletynem dla Edge – widać, że te problemy z nową przeglądarką Microsoftu nie dotyczą już odziedziczonego kodu, to nowe niedoróbki.

Co jest ważne, a co ważne nie jest?

Pozostałe biuletyny są ważne, choć wydaje się, że to nie do końca jest tak.

Zaskakująca jest bowiem decyzja o określeniu biuletynu MS16-135 jedynie jako „ważnego”. Dotyczy on m.in. ujawnionej przez Google luki, która jest obecnie exploitowana przez kilka grup cyberprzestępczych. Microsoft utrzymuje bowiem, że stosowane ataki nie działają wobec najnowszych zabezpieczeń jądra, wprowadzonych wraz z Rocznicową Aktualizacją Windowsa 10. Znajdziemy tu także łatki dla kilku luk w sterownikach działających w trybie kernela.

MS16-133, biuletyn oznaczony jako ważny, dotyczy Microsoft Office. Łącznie dziesięć luk związanych z uszkodzeniami pamięci pozwala na zdalne uruchomienie kodu, ataki DoS oraz wyciek wrażliwych danych.

MS16-134 naprawia błędy w systemie logowania Windowsów – niewłaściwa obsługa obiektów w pamięci przez sterownik pozwala lokalnemu napastnikowi na uzyskanie uprawnień administracyjnych.

MS16-136 przeznaczony jest dla użytkowników SQL Servera. W microsoftowym silniku baz danych i dodatkowych jego narzędziach odkryto 10 luk, związanych z możliwością uzyskania uprawnień administracyjnych (zła obsługa wskaźników), wycieku informacji i podatności na ataki XSS.

MS16-137 to łatka dla mechanizmu uwierzytelniania Windows NTLM – obecna tam luka pozwalała na uzyskanie uprawnień administracyjnych. Rozwiązuje to też problem z wyciekiem wrażliwych informacji z chronionego trybu Virtual Secure Mode i podatności na ataki DoS.

MS16-139 dotyczy samego kernela. Jego API źle obsługiwało uprawnienia, pozwalając napastnikom na uzyskanie uprawnień administratora.

Ostatnim biuletynem w tym miesiącu jest MS16-140. Tutaj załatana została luka pozwalająca fizycznie obecnemu napastnikowi na obejście zabezpieczeń Boot Managera i wgranie na podatne urządzenie własnych sterowników i plików uruchamialnych w trakcie rozruchu systemu.

Pozostaje teraz czekać na ostatnią edycję grudniowych biuletynów – walka o uszczelnianie Windowsów nie ma przecież końca.

Za: dobreprogramy.pl]]>
Edge to już więcej niż Internet Explorer z nowym UI

Przejdźmy jednak do sedna sprawy, ponieważ bez tych nowych łatek korzystanie z Windowsów jest ryzykowne.

Spośród 14 biuletynów, sześć zostało określonych jako krytyczne, zacznijmy więc od nich:

MS16-129 to zbiorcza łatka dla przeglądarki Edge. Łata aż 17 różnych dziur, jest wśród nich 12 podatności pozwalających na zdalne uruchomienie kodu, związanych zarówno z uszkodzeniami pamięci jak i błędnm przetwarzaniem danych przez silnik skryptowy. Cztery luki dotyczą wycieków wrażliwych informacji, jedna zaś możliwości fałszowania odpowiedzi HTTP i przekierowania użytkownika na złośliwe strony.

MS16-130 naprawia błędy w ładowaniu bibliotek DLL przez moduł WIME (Windows Input Method Editor) oraz działaniu Harmonogramu Zadań oraz renderowania pliku obrazu. Wykorzystując je, napastnik może zarówno zdalnie uruchomić kod, jak i podwyższyć jego uprawnienia do poziomu administratora.

MS16-131 jest związany z komponentem Microsoft Video Control. Odpowiednio spreparowany klip wideo może zawierać kod, który zostanie uruchomiony z uprawnieniami zalogowanego użytkownika, wykorzystując błąd w przetwarzaniu obiektów w pamięci. Oczywiście należy w tym celu nakłonić użytkownika do otworzenia pliku, co nie jest jednak trudne – ilu Zwykłych Użytkowników odmówi sobie kliknięcia w filmik o nazwie „uroczy kotek liże łapkę.avi”?

MS16-132 – no cóż, drugi wtorek miesiąca byłby nudny bez luk w Microsoft Graphics Component. Znowu oczywiście chodzi o błąd w obsłudze fontów, ale nie tylko, błędy w przetwarzaniu danych znaleziono też w menedżerze animacji i bibliotece mediów. Wszystkie one pozwalają na zdalne uruchomienie kodu. Uwaga – Microsoft utrzymuje, że żaden z tych błędów nie jest exploitowany. Badacze z firmy Qualys twierdzą, że to nieprawda – luka CVE-2016-7256 w menedżerze fontów OpenType to 0-day. Co więcej, tkwi tam jeszcze jeden błąd – jego wykorzystanie pozwala napastnikowi na pozyskanie wrażliwych informacji o systemie.

MS16-141 to aktualizacja wbudowanego komponentu Adobe Flash, która zawiera dziewięć łatek opublikowanych przez Adobe, wszystkie oczywiście pozwalają na zdalne uruchamianie kodu.

MS16-142 to zbiorcza aktualizacja bezpieczeństwa dla Internet Explorera, naprawiająca problemy z obsługą obiektów w pamięci i wykorzystaniem filtrów XSS przy przetwarzaniu wyrażeń regularnych. Znów mamy do czynienia z możliwością zdalnego uruchomienia kodu. Warto zauważyć, że tym razem biuletyn dla IE nie pokrywa się zawartością z biuletynem dla Edge – widać, że te problemy z nową przeglądarką Microsoftu nie dotyczą już odziedziczonego kodu, to nowe niedoróbki.

Co jest ważne, a co ważne nie jest?

Pozostałe biuletyny są ważne, choć wydaje się, że to nie do końca jest tak.

Zaskakująca jest bowiem decyzja o określeniu biuletynu MS16-135 jedynie jako „ważnego”. Dotyczy on m.in. ujawnionej przez Google luki, która jest obecnie exploitowana przez kilka grup cyberprzestępczych. Microsoft utrzymuje bowiem, że stosowane ataki nie działają wobec najnowszych zabezpieczeń jądra, wprowadzonych wraz z Rocznicową Aktualizacją Windowsa 10. Znajdziemy tu także łatki dla kilku luk w sterownikach działających w trybie kernela.

MS16-133, biuletyn oznaczony jako ważny, dotyczy Microsoft Office. Łącznie dziesięć luk związanych z uszkodzeniami pamięci pozwala na zdalne uruchomienie kodu, ataki DoS oraz wyciek wrażliwych danych.

MS16-134 naprawia błędy w systemie logowania Windowsów – niewłaściwa obsługa obiektów w pamięci przez sterownik pozwala lokalnemu napastnikowi na uzyskanie uprawnień administracyjnych.

MS16-136 przeznaczony jest dla użytkowników SQL Servera. W microsoftowym silniku baz danych i dodatkowych jego narzędziach odkryto 10 luk, związanych z możliwością uzyskania uprawnień administracyjnych (zła obsługa wskaźników), wycieku informacji i podatności na ataki XSS.

MS16-137 to łatka dla mechanizmu uwierzytelniania Windows NTLM – obecna tam luka pozwalała na uzyskanie uprawnień administracyjnych. Rozwiązuje to też problem z wyciekiem wrażliwych informacji z chronionego trybu Virtual Secure Mode i podatności na ataki DoS.

MS16-139 dotyczy samego kernela. Jego API źle obsługiwało uprawnienia, pozwalając napastnikom na uzyskanie uprawnień administratora.

Ostatnim biuletynem w tym miesiącu jest MS16-140. Tutaj załatana została luka pozwalająca fizycznie obecnemu napastnikowi na obejście zabezpieczeń Boot Managera i wgranie na podatne urządzenie własnych sterowników i plików uruchamialnych w trakcie rozruchu systemu.

Pozostaje teraz czekać na ostatnią edycję grudniowych biuletynów – walka o uszczelnianie Windowsów nie ma przecież końca.

Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 10/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-10-2016-50901-t Thu, 13 Oct 2016 05:26:48 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-10-2016-50901-t Znamy już zawartość październikowych biuletynów bezpieczestwa Microsoftu . Mogłoby się wydawać, że nie jest najgorzej – wyszło ich zaledwie 10, z czego pięć określono jako krytyczne, a cztery jako ważne. Uwaga jednak: tym razem mamy do czynienia ze sporą liczbą luk 0-day, które są już wykorzystywane przez cyberprzestępców, więc nie macie specjalnie wyjścia. Albo zbiorcze aktualizacje dla swoich systemów zainstalujecie, albo pozostaje Wam czekać na darmowe podłączenie do botnetu.

Pierwszym z krytycznych biuletynów jest MS16-118. Naprawia on jedenaście luk w Internet Explorerze, z których jedna, CVE-2016-3298, jest już aktywnie wykorzystywana w złośliwych kampania reklamowych, m.in. w AdGholas. Ze szczegółami możecie się zapoznać na blogu firmy Proofpoint, tuu jedynie powiemy, że luka ta pozwala na wydobycie wrażliwych danych z przeglądarki, które będzie można wykorzystać w innych atakach. Pozostałe luki dotyczą problemów z obsługą pamięci oraz podwyższenia uprawnień dla systemowych procesów.

Drugi biuletyn, MS16-119, dotyczy oczywiście Microsoft Edge. Tym razem łata on aż 13 luk, z czego siedem dotyczy błędów w obsłudze pamięci, dwie zagrażają podwyższeniem uprawnień, dwie wyciekiem wrażliwych danych, jedna obejściem zabezpieczeń i jedna zdalnym uruchomieniem kodu. I właśnie ta jedna, znajdująca się w silniku skryptowym Edge i oznaczona jako CVE-2016-7189, jest aktywnie exploitowana przez kilka szkodników i sprzedawana na hakerskich forach za ok. 10 tys. dolarów.

Biuletyn MS16-120 obejmuje luki różnych wersjach Windowsa, Office 2007 i 2010, wszystkich wersjach .NET Frameworka i Silverlighta, a także Skype for Business oraz Lynca 2010 i 2013. Problem dotyczy Windows Graphics Component, GDI+ oraz True Type Font Parsing. Luka CVE-2016-3393 związana jest więc z błędem w przetwarzaniu fontów – taki font, osadzony np. na stronie internetowej, może być nośnikiem złośliwego kodu. Nie tylko zresztą może być, ale i jest, luka jest aktywnie exploitowana.

MS16-122 dotyczy ostatniej z odkrytych tym razem luk 0-day w Windowsach i ich oprogramowaniu systemowym. Tym razem poszło o kontrolkę Microsoft Video Control. Luka CVE-2016-0142 dotyczy błędów w obsłudze obiektów w pamięci i pozwala każdemu, kto spreparuje dane dla tej kontrolki ActiveX uruchomić swój własny kod przez bibliotekę DirectShow. Odkryto już exploity w naturalnym środowisku Windowsów.

Na tym nie koniec. Także Microsoft Office doczekało się swojej luki 0-day. Biuletyn MS16-121 (co ciekawe, oznaczony zaledwie jako „ważny”) dotyczy błędu w obsłudze pamięci podczas otwierania plików RTF, oznaczonego jako CVE-2016-7193, i pozwalającego na zdalne uruchomienie kodu. Problem dotyczy wszystkich wersji Microsoft Office od 2007 do 2016, nie tylko na Windowsa ale też i Maka, jak również całej gamy narzędzi software’owych związanych z Office. Z jakiegoś powodu niektóre wersje Microsoft Worda 2010 nie dostaną tej łatki. Świetna wiadomość, szczególnie że exploity już są w sprzedaży.

Wrócmy jednak do samych Windowsów i pozostałych nie tak już krytycznych luk. MS16-123 dotyczy licznych podatności w sterownikach trybu kernela Windowsów, niektóre z nich można wykorzystać do podwyższenia uprawnień. MS16-124 to podwyższanie uprawnień poprzez Rejestr Windows. MS16-125 dotyczy zaś luki w Windows Diagnostics Hub Standard Collector Service, również pozwalającej na podwyższenie uprawnień. MS16-126 łata zaś lukę w Microsoft Internet Messaging API, pozwalającą na zdalne sprawdzenie obecności danego pliku na dysku – niezbyt groźne, ale już jest aktywnie exploitowane.

Jeśli już zainstalowaliście najnowsze zbiorcze paczki aktualizacyjne, możecie spać spokojnie. Wasze Windowsy właśnie stały się mniej dziurawe.

Za: dobreprogramy.pl]]> Znamy już zawartość październikowych biuletynów bezpieczestwa Microsoftu . Mogłoby się wydawać, że nie jest najgorzej – wyszło ich zaledwie 10, z czego pięć określono jako krytyczne, a cztery jako ważne. Uwaga jednak: tym razem mamy do czynienia ze sporą liczbą luk 0-day, które są już wykorzystywane przez cyberprzestępców, więc nie macie specjalnie wyjścia. Albo zbiorcze aktualizacje dla swoich systemów zainstalujecie, albo pozostaje Wam czekać na darmowe podłączenie do botnetu.

Pierwszym z krytycznych biuletynów jest MS16-118. Naprawia on jedenaście luk w Internet Explorerze, z których jedna, CVE-2016-3298, jest już aktywnie wykorzystywana w złośliwych kampania reklamowych, m.in. w AdGholas. Ze szczegółami możecie się zapoznać na blogu firmy Proofpoint, tuu jedynie powiemy, że luka ta pozwala na wydobycie wrażliwych danych z przeglądarki, które będzie można wykorzystać w innych atakach. Pozostałe luki dotyczą problemów z obsługą pamięci oraz podwyższenia uprawnień dla systemowych procesów.

Drugi biuletyn, MS16-119, dotyczy oczywiście Microsoft Edge. Tym razem łata on aż 13 luk, z czego siedem dotyczy błędów w obsłudze pamięci, dwie zagrażają podwyższeniem uprawnień, dwie wyciekiem wrażliwych danych, jedna obejściem zabezpieczeń i jedna zdalnym uruchomieniem kodu. I właśnie ta jedna, znajdująca się w silniku skryptowym Edge i oznaczona jako CVE-2016-7189, jest aktywnie exploitowana przez kilka szkodników i sprzedawana na hakerskich forach za ok. 10 tys. dolarów.

Biuletyn MS16-120 obejmuje luki różnych wersjach Windowsa, Office 2007 i 2010, wszystkich wersjach .NET Frameworka i Silverlighta, a także Skype for Business oraz Lynca 2010 i 2013. Problem dotyczy Windows Graphics Component, GDI+ oraz True Type Font Parsing. Luka CVE-2016-3393 związana jest więc z błędem w przetwarzaniu fontów – taki font, osadzony np. na stronie internetowej, może być nośnikiem złośliwego kodu. Nie tylko zresztą może być, ale i jest, luka jest aktywnie exploitowana.

MS16-122 dotyczy ostatniej z odkrytych tym razem luk 0-day w Windowsach i ich oprogramowaniu systemowym. Tym razem poszło o kontrolkę Microsoft Video Control. Luka CVE-2016-0142 dotyczy błędów w obsłudze obiektów w pamięci i pozwala każdemu, kto spreparuje dane dla tej kontrolki ActiveX uruchomić swój własny kod przez bibliotekę DirectShow. Odkryto już exploity w naturalnym środowisku Windowsów.

Na tym nie koniec. Także Microsoft Office doczekało się swojej luki 0-day. Biuletyn MS16-121 (co ciekawe, oznaczony zaledwie jako „ważny”) dotyczy błędu w obsłudze pamięci podczas otwierania plików RTF, oznaczonego jako CVE-2016-7193, i pozwalającego na zdalne uruchomienie kodu. Problem dotyczy wszystkich wersji Microsoft Office od 2007 do 2016, nie tylko na Windowsa ale też i Maka, jak również całej gamy narzędzi software’owych związanych z Office. Z jakiegoś powodu niektóre wersje Microsoft Worda 2010 nie dostaną tej łatki. Świetna wiadomość, szczególnie że exploity już są w sprzedaży.

Wrócmy jednak do samych Windowsów i pozostałych nie tak już krytycznych luk. MS16-123 dotyczy licznych podatności w sterownikach trybu kernela Windowsów, niektóre z nich można wykorzystać do podwyższenia uprawnień. MS16-124 to podwyższanie uprawnień poprzez Rejestr Windows. MS16-125 dotyczy zaś luki w Windows Diagnostics Hub Standard Collector Service, również pozwalającej na podwyższenie uprawnień. MS16-126 łata zaś lukę w Microsoft Internet Messaging API, pozwalającą na zdalne sprawdzenie obecności danego pliku na dysku – niezbyt groźne, ale już jest aktywnie exploitowane.

Jeśli już zainstalowaliście najnowsze zbiorcze paczki aktualizacyjne, możecie spać spokojnie. Wasze Windowsy właśnie stały się mniej dziurawe.

Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 09/3016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-09-3016-50799-t Thu, 15 Sep 2016 05:31:54 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-09-3016-50799-t Wraz z kolejnym drugim wtorkiem miesiąca dostaliśmy od Microsoftu 14 biuletynów bezpieczeństwa. Siedem z nich zostało uznanych za krytyczne, a jedna z załatanych luk ma ponad 10 lat. Mogłoby się wydawać, że w sumie z Windowsem nie jest tak źle – Adobe w swojej ostatniej aktualizacji Flash Playera załatało 29 luk, z czego 26 pozwalało na uruchomienie złośliwego kodu. Trzeba jednak pamiętać, że niejednokrotnie jeden biuletyn zawiera łatki dla wielu luk, więc jednoznaczne stwierdzenie, komu należy się palma pierwszeństwa za najbardziej dziurawy kod wcale nie jest takie łatwe.

10 lat Detoursa – kto załata te wszystkie programy?

Zacznijmy od tego, co uznano za krytyczne w wrześniowej rundzie poprawek:

MS16-104 to zbiorcza aktualizacja bezpieczeństwa dla Internet Explorera. Za jednym zamachem załatano pięć luk pozwalających na zdalne uruchamianie kodu, trzy związane z wyciekiem informacji, jedną z eskalacją uprawnień, jedną z obejście zabezpieczeń. Luki związane były przede wszystkim błędów z błędami w obsłudze pamięci – i wiadomo, że przynajmniej jedna z nich jest już wykorzystywana w atakach na internautów.

MS16-105 to zbiór poprawek dla Microsoft Edge. Tutaj załatano siedem luk pozwalających na zdalne uruchomienie kodu oraz pięć związanych z wyciekami informacji.

MS16-106 dotyczy naszych ulubionych problemów z Microsoft Graphics Component i dotyczy przede wszystkim Windowsa 10. Załatano lukę pozwalającą na zdalne uruchamianie kodu przez Graphics Device Interface (GDI), lukę pozwalającą na eskalację uprawnień przez GDI, lukę umożliwiającą wyciek informacji przez GDI oraz dwie luki w win32, związane z eskalacją uprawnień. Co ciekawe, to jest ta sama luka, którą ujęto we wcześniejszym biuletynie MS16-098 – najwyraźniej na Windowsie 10 wprowadzone wówczas poprawki okazały się niewystarczające.

MS16-107 dotyczy pakietu Microsoft Office. Usunięto łącznie 10 błędów związanych z uszkodzeniem pamięci, możliwością wycieku kluczy prywatnych z magazynu certyfikatu podczas zapisu dokumentu, obejścia zabezpieczenia randomizacji przestrzeni adresowej oraz oszukiwania Outlooka odpowiednio spreparowanymi załącznikami, których antywirusy nie zauważą.

Jest w tym biuletynie jedna ciekawostka, dotycząca biblioteki Detours do przechwytywania komunikatów (hooking engine). Jest ona powszechnie wykorzystywana w świecie Windowsa, nie tylko przez Microsoft, ale łącznie przez ponad 100 niezależnych firm software’owych. Od dziesięciu lat tkwiły w niej błędy związane z niewłaściwymi technikami przechwytywania i wstrzykiwania – błędy te mogły zostać wykorzystane m.in. do oszukiwania oprogramowania antywirusowego. To, że Microsoft załatał ją teraz dla Office, nie usuwa zagrożenia przedstawionego dokładnie podczas tegorocznej konferencji BlackHat. Na wstrzykiwanie złośliwego kodu podatnych jest tysiące innych programów, korzystających z Detours.

MS16-108 to biuletyn dla wszystkich wersji serwera Exchange. Do czynienia mamy ze zdalnym uruchamianiem kodu, przekierowywaniem żądań URL, przejęciem wrażliwych danych i eskalacją uprawnień – wystarczy wysłać e-maila z odpowiednio spreparowanym załącznikiem. Na usprawiedliwienie Microsoftu można powiedzieć, że to wina Oracle, a dokładnie wbudowanych w serwer Exchange bibliotek Oracle Outside In.

Ostatni z krytycznych biuletynów, MS16-116 naprawia luki w silniku skryptowym VBScriptu i mechanizmie OLE Automation, pozwalające na zdalne uruchomienie kodu u internautów, którzy odwiedzili złośliwą witrynę. Działa w pakiecie z MS16-104 – trzeba zainstalować oba biuletyny.

Poważne, krytyczne, a może jeszcze gorzej?

Pozostałe biuletyny uznano za poważne, choć kwestia ta może być dyskusyjna. Taki bowiem oto MS16-109, dotyczący Silverlighta, łata lukę pozwalającą na zdalne uruchomienie kodu. MS16-110 dotyczy zaś podatności 0-day, która w zależności od wersji Windowsa różni się skalą zagrożenia. Chodzi o mechanizm logowania NT LAN Managera do zasobów sieci lokalnych – z jakiegoś powodu w Windowsie 8.1 atak pozwala jedynie na pozyskanie wrażliwych danych, ale już w Windowsie 10 na zdalne uruchomienie kodu. Naprawdę to nie jest krytyczne?

W MS16-111 znajdziemy łatki dla jądra systemu: te luki pozwalały na eskalację uprawnień. MS16-112 dotyczy ekranu blokady Windowsa – pozwala on na eskalację uprawnień w razie załadowania do niego treści webowych. MS16-113 to łatka na wyciek informacji z Windows Secure Kernel Mode, zaś MS16-114 dotyczy luki w serwerze SMB, która w zależności od wersji systemu pozwala na zdalne uruchomienie kodu lub atak DoS. Na koniec wreszcie MS16-115 – to łatka na wyciek informacji z Windows PDF Library.

Uważny Czytelnik zauważy, że nie wspomnieliśmy o MS16-117. To akurat nie są łatki Microsoftu, tylko Adobe – zbiorcza poprawka dla Flash Playera dla Internet Explorera i Edge.

I jak tu czuć się bezpiecznym po takim miesiącu na współczesnym pececie?

Zas: dobreprogramy.pl]]> Wraz z kolejnym drugim wtorkiem miesiąca dostaliśmy od Microsoftu 14 biuletynów bezpieczeństwa. Siedem z nich zostało uznanych za krytyczne, a jedna z załatanych luk ma ponad 10 lat. Mogłoby się wydawać, że w sumie z Windowsem nie jest tak źle – Adobe w swojej ostatniej aktualizacji Flash Playera załatało 29 luk, z czego 26 pozwalało na uruchomienie złośliwego kodu. Trzeba jednak pamiętać, że niejednokrotnie jeden biuletyn zawiera łatki dla wielu luk, więc jednoznaczne stwierdzenie, komu należy się palma pierwszeństwa za najbardziej dziurawy kod wcale nie jest takie łatwe.

10 lat Detoursa – kto załata te wszystkie programy?

Zacznijmy od tego, co uznano za krytyczne w wrześniowej rundzie poprawek:

MS16-104 to zbiorcza aktualizacja bezpieczeństwa dla Internet Explorera. Za jednym zamachem załatano pięć luk pozwalających na zdalne uruchamianie kodu, trzy związane z wyciekiem informacji, jedną z eskalacją uprawnień, jedną z obejście zabezpieczeń. Luki związane były przede wszystkim błędów z błędami w obsłudze pamięci – i wiadomo, że przynajmniej jedna z nich jest już wykorzystywana w atakach na internautów.

MS16-105 to zbiór poprawek dla Microsoft Edge. Tutaj załatano siedem luk pozwalających na zdalne uruchomienie kodu oraz pięć związanych z wyciekami informacji.

MS16-106 dotyczy naszych ulubionych problemów z Microsoft Graphics Component i dotyczy przede wszystkim Windowsa 10. Załatano lukę pozwalającą na zdalne uruchamianie kodu przez Graphics Device Interface (GDI), lukę pozwalającą na eskalację uprawnień przez GDI, lukę umożliwiającą wyciek informacji przez GDI oraz dwie luki w win32, związane z eskalacją uprawnień. Co ciekawe, to jest ta sama luka, którą ujęto we wcześniejszym biuletynie MS16-098 – najwyraźniej na Windowsie 10 wprowadzone wówczas poprawki okazały się niewystarczające.

MS16-107 dotyczy pakietu Microsoft Office. Usunięto łącznie 10 błędów związanych z uszkodzeniem pamięci, możliwością wycieku kluczy prywatnych z magazynu certyfikatu podczas zapisu dokumentu, obejścia zabezpieczenia randomizacji przestrzeni adresowej oraz oszukiwania Outlooka odpowiednio spreparowanymi załącznikami, których antywirusy nie zauważą.

Jest w tym biuletynie jedna ciekawostka, dotycząca biblioteki Detours do przechwytywania komunikatów (hooking engine). Jest ona powszechnie wykorzystywana w świecie Windowsa, nie tylko przez Microsoft, ale łącznie przez ponad 100 niezależnych firm software’owych. Od dziesięciu lat tkwiły w niej błędy związane z niewłaściwymi technikami przechwytywania i wstrzykiwania – błędy te mogły zostać wykorzystane m.in. do oszukiwania oprogramowania antywirusowego. To, że Microsoft załatał ją teraz dla Office, nie usuwa zagrożenia przedstawionego dokładnie podczas tegorocznej konferencji BlackHat. Na wstrzykiwanie złośliwego kodu podatnych jest tysiące innych programów, korzystających z Detours.

MS16-108 to biuletyn dla wszystkich wersji serwera Exchange. Do czynienia mamy ze zdalnym uruchamianiem kodu, przekierowywaniem żądań URL, przejęciem wrażliwych danych i eskalacją uprawnień – wystarczy wysłać e-maila z odpowiednio spreparowanym załącznikiem. Na usprawiedliwienie Microsoftu można powiedzieć, że to wina Oracle, a dokładnie wbudowanych w serwer Exchange bibliotek Oracle Outside In.

Ostatni z krytycznych biuletynów, MS16-116 naprawia luki w silniku skryptowym VBScriptu i mechanizmie OLE Automation, pozwalające na zdalne uruchomienie kodu u internautów, którzy odwiedzili złośliwą witrynę. Działa w pakiecie z MS16-104 – trzeba zainstalować oba biuletyny.

Poważne, krytyczne, a może jeszcze gorzej?

Pozostałe biuletyny uznano za poważne, choć kwestia ta może być dyskusyjna. Taki bowiem oto MS16-109, dotyczący Silverlighta, łata lukę pozwalającą na zdalne uruchomienie kodu. MS16-110 dotyczy zaś podatności 0-day, która w zależności od wersji Windowsa różni się skalą zagrożenia. Chodzi o mechanizm logowania NT LAN Managera do zasobów sieci lokalnych – z jakiegoś powodu w Windowsie 8.1 atak pozwala jedynie na pozyskanie wrażliwych danych, ale już w Windowsie 10 na zdalne uruchomienie kodu. Naprawdę to nie jest krytyczne?

W MS16-111 znajdziemy łatki dla jądra systemu: te luki pozwalały na eskalację uprawnień. MS16-112 dotyczy ekranu blokady Windowsa – pozwala on na eskalację uprawnień w razie załadowania do niego treści webowych. MS16-113 to łatka na wyciek informacji z Windows Secure Kernel Mode, zaś MS16-114 dotyczy luki w serwerze SMB, która w zależności od wersji systemu pozwala na zdalne uruchomienie kodu lub atak DoS. Na koniec wreszcie MS16-115 – to łatka na wyciek informacji z Windows PDF Library.

Uważny Czytelnik zauważy, że nie wspomnieliśmy o MS16-117. To akurat nie są łatki Microsoftu, tylko Adobe – zbiorcza poprawka dla Flash Playera dla Internet Explorera i Edge.

I jak tu czuć się bezpiecznym po takim miesiącu na współczesnym pececie?

Zas: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 08/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-08-2016-50607-t Thu, 11 Aug 2016 05:21:20 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-08-2016-50607-t Wśród dziewięciu biuletynów bezpieczeństwa mamy pięć krytycznych. Oto one:

MS16-095 – czyli zestaw łatek dla Internet Explorera, który naprawia pięć błędów w obsłudze pamięci i łata cztery możliwe wycieki informacji. Błędy oczywiście pozwalają na zdalne uruchomienie złośliwego kodu z uprawnieniami zalogowanego użytkownika.

MS16-096 – zestaw łatek dla Microsoft Edge. Tutaj załatano osiem luk, z których cztery dotyczą błędów w obsłudze pamięci, jeden błędu w przetwarzaniu PDF-ów, a trzy możliwych wycieków informacji. Tyle, jeśli chodzi o tę zupełnie nową przeglądarkę Microsoft Edge, miesiąc w miesiąc obserwujemy, że błędy w Internet Explorerze to też błędy w Microsoft Edge.

MS16-097 – i znów dziury w podsystemie grafiki Windowsa, które pozwalaja na zdalne wykonywanie kodu. Tak, dobrze zgadliście, znów chodzi o złośliwe fonty. Dotknięte problemem są nie tylko wszystkie wspierane systemy Microsoftu, ale też Microsoft Office, Word Viewer, Skype for Business i Microsoft Lync.

MS16-099 – to pakiet poprawek specjalnie dla Microsoft Office. Naprawia trzy podatności na uszkodzernie pamięci, jedną specyficzną podatność w komponencie obsługi grafiki oraz błąd pozwalający na wyciek informacji z OneNote. Co ciekawe, znajdziemy tu też poprawkę uniemożliwiającą obejście mechanizmu ochrony randomizacji pamięci (ASLR).

Ostatnim krytycznym biuletynem jest MS16-102, który pokazuje, że komponent PDF w Microsoft Edge to taki nowy Adobe Reader. Załatany błąd pozwalał na zdalne uruchomienie złośliwego kodu, wystarczyło otworzyć spreparowany plik PDF w przeglądarce – a przecież Edge robi to domyślnie. Szczęśliwie atak ten nie był do tej pory znany – ale można się spodziewać, że za chwilę metodami odwrotnej inżynierii luka zostanie rozpoznana przez cyberprzestępców i będzie często wykorzystywana w atakach na niezaktualizowane systemy. Może więc i dobrze, że Microsoft wymusza na swoich niekorporacyjnych użytkownikach aktualizacje?

Oprócz tych pięciu krytycznych biuletynów wydano cztery, oznaczone jako ważne. MS16-098 łata problemy ze sterownikami, które pozwalają na uzyskanie uprawnień administratora, MS16-100 usuwa podatność pozwalającą obejść Windows Secure Boot, Secure Boot Integrity Validation for BitLocker oraz Device Encryption, MS16-101 naprawia podatności w mechanizmach uwierzytelniania (Kerberos i Netlogon) pozwalające na uzyskanie uprawnień administratora, w końcu zaś MS16-103 rozwiązuje problemy z wyciekiem loginów i haseł w usłudze ActiveSyncProvider (używanej m.in. przez Outlooka) w Windowsie 10.

Za: dobreprogramy.pl]]> Wśród dziewięciu biuletynów bezpieczeństwa mamy pięć krytycznych. Oto one:

Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 06/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-06-2016-50331-t Tue, 28 Jun 2016 09:28:53 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-06-2016-50331-t Jak co miesiąc, również w czerwcu Microsoft wydał nowe biuletyny bezpieczeństwa dla swojego oprogramowania. Tym razem nie jest ich zbyt wiele, aktualizacja nie powinna trwać więc zbyt długo. Niewielka liczba paczek nie umniejsza jednak ich znaczenia – te najnowsze są bardzo ważne i zdecydowanie zalecamy ich zainstalowanie.

W tym miesiącu Microsoft wydał łącznie osiem aktualizacji związanych z bezpieczeństwem swoich aplikacji, dwie z nich oznaczono jako krytyczne i powinny zostać zainstalowane tak szybko, jak to tylko możliwe. Pierwszą z nich jest MS15-056, zbiorcza paczka aktualizacji dla przeglądarki Internet Explorer. Jak w przypadku wielu biuletynów wydanych w przeszłości, także i ten odnosi się do możliwości wykonania w przeglądarce zdalnego kodu. Za sprawą odkrytych luk możliwe jest uzyskanie dostępu do historii przeglądanych stron, niedozwolone zwiększanie uprawnień, a także modyfikowanie obiektów przechowywanych w pamięci aplikacji. Korporacja załatała znalezione i zgłoszone przez inne firmy luki.

Druga krytyczna aktualizacja została oznaczona jako MS15-057 i jest związana z odtwarzaczem Windows Media Player. Również w tym przypadku chodzi o wykonanie zdalnego kodu – jeżeli uruchomilibyśmy w programie odpowiednio spreparowany plik multimedialny z niebezpiecznej strony, atakujący może całkowicie przejąć kontrolę nad naszym komputerem. Po raz kolejny Microsoft zaznaczył, że ryzyko ataku jest znacznie ograniczone w sytuacji, gdy pracujemy na koncie standardowym, zamiast konta administratora. Badania wszystkich zeszłorocznych aktualizacji wydanych przez tę firmę pokazują, że przejście na konto o ograniczonych uprawnieniach powoduje znaczne zwiększenie poziomu bezpieczeństwa naszego systemu.

Pozostałe sześć biuletynów o numerach od MS15-059 do MS15-064 oznaczono jako ważne. Aktualizacje te łatają luki w oprogramowaniu Microsoft Office i składnikach systemu Windows, które pozwalają na zdalne wykonywanie kodu, a także możliwość nieautoryzowanego podniesienia uprawnień użytkownika: uruchomienie odpowiedniego programu pozwala na przejęcie kontroli nad systemem, przeglądanie i zmienianie wszystkich plików, a także zakładanie nowych kont. W innym przypadku atakujący musi umieścić szkodliwy plik .dll na komputerze lub zasobach sieciowych i skłonić użytkownika do uruchomienia programu, który go załaduje. Dwie łatki są przeznaczone odpowiednio dla Active Directory i serwera Exchange, powinny więc zostać zainstalowane na systemach serwerowych, które udostępniają te usługi.

Oprócz tego w Windows Update pojawiły się inne aktualizacje, które nie są związane z bezpieczeństwem. Rozwiązują one problemy z kompatybilnością, wprowadzają poprawki do mechanizmu aktualizacyjnego, a także naprawiają błędy znalezione w systemie. Firma naprawiała m.in. zbyt długi czas logowania mający miejsce w niektórych sytuacjach, awarię sterownika xHCI przy wybudzenia ze stanu wstrzymania na komputerach z procesorami AMD Carrizo, a także czas uruchamiania systemu przy dodanych kilku językach. Wszystkie aktualizacje znajdziecie w usłudze Windows Update, zachęcamy do ich zainstalowania.
Za: dobreprogramy.pl]]> Jak co miesiąc, również w czerwcu Microsoft wydał nowe biuletyny bezpieczeństwa dla swojego oprogramowania. Tym razem nie jest ich zbyt wiele, aktualizacja nie powinna trwać więc zbyt długo. Niewielka liczba paczek nie umniejsza jednak ich znaczenia – te najnowsze są bardzo ważne i zdecydowanie zalecamy ich zainstalowanie.

W tym miesiącu Microsoft wydał łącznie osiem aktualizacji związanych z bezpieczeństwem swoich aplikacji, dwie z nich oznaczono jako krytyczne i powinny zostać zainstalowane tak szybko, jak to tylko możliwe. Pierwszą z nich jest MS15-056, zbiorcza paczka aktualizacji dla przeglądarki Internet Explorer. Jak w przypadku wielu biuletynów wydanych w przeszłości, także i ten odnosi się do możliwości wykonania w przeglądarce zdalnego kodu. Za sprawą odkrytych luk możliwe jest uzyskanie dostępu do historii przeglądanych stron, niedozwolone zwiększanie uprawnień, a także modyfikowanie obiektów przechowywanych w pamięci aplikacji. Korporacja załatała znalezione i zgłoszone przez inne firmy luki.

Druga krytyczna aktualizacja została oznaczona jako MS15-057 i jest związana z odtwarzaczem Windows Media Player. Również w tym przypadku chodzi o wykonanie zdalnego kodu – jeżeli uruchomilibyśmy w programie odpowiednio spreparowany plik multimedialny z niebezpiecznej strony, atakujący może całkowicie przejąć kontrolę nad naszym komputerem. Po raz kolejny Microsoft zaznaczył, że ryzyko ataku jest znacznie ograniczone w sytuacji, gdy pracujemy na koncie standardowym, zamiast konta administratora. Badania wszystkich zeszłorocznych aktualizacji wydanych przez tę firmę pokazują, że przejście na konto o ograniczonych uprawnieniach powoduje znaczne zwiększenie poziomu bezpieczeństwa naszego systemu.

Pozostałe sześć biuletynów o numerach od MS15-059 do MS15-064 oznaczono jako ważne. Aktualizacje te łatają luki w oprogramowaniu Microsoft Office i składnikach systemu Windows, które pozwalają na zdalne wykonywanie kodu, a także możliwość nieautoryzowanego podniesienia uprawnień użytkownika: uruchomienie odpowiedniego programu pozwala na przejęcie kontroli nad systemem, przeglądanie i zmienianie wszystkich plików, a także zakładanie nowych kont. W innym przypadku atakujący musi umieścić szkodliwy plik .dll na komputerze lub zasobach sieciowych i skłonić użytkownika do uruchomienia programu, który go załaduje. Dwie łatki są przeznaczone odpowiednio dla Active Directory i serwera Exchange, powinny więc zostać zainstalowane na systemach serwerowych, które udostępniają te usługi.

Oprócz tego w Windows Update pojawiły się inne aktualizacje, które nie są związane z bezpieczeństwem. Rozwiązują one problemy z kompatybilnością, wprowadzają poprawki do mechanizmu aktualizacyjnego, a także naprawiają błędy znalezione w systemie. Firma naprawiała m.in. zbyt długi czas logowania mający miejsce w niektórych sytuacjach, awarię sterownika xHCI przy wybudzenia ze stanu wstrzymania na komputerach z procesorami AMD Carrizo, a także czas uruchamiania systemu przy dodanych kilku językach. Wszystkie aktualizacje znajdziecie w usłudze Windows Update, zachęcamy do ich zainstalowania.
Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 05/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-05-2016-50008-t Thu, 12 May 2016 05:45:22 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-05-2016-50008-t Majowa seria biuletynów bezpieczeństwa Microsoftu już za nami. Tym razem znaleziono 36 luk, a załatano je za pomocą 15 poprawek. Jak zwykle znaczna ich część dotyczy przeglądarek, po raz kolejny pokazując, że uszczelnienie Edge i Explorera jest chyba niemożliwe. Problemy znaleziono też w stosie grafiki oraz osadzonych w kernelu NT sterownikach.

Siedem biuletynów zaklasyfikowano jako „krytyczne”. Oto one:

MS16-051 jest związany z błędami w silniku skryptowym Internet Explorera. Błąd w obsłudze obiektów w pamięci pozwala na zdalne uruchomienie kodu z uprawnieniami zalogowanego użytkownika. Poprzez wykorzystanie kontrolek ActiveX do ataku na tę podatność można też wykorzystać dokumenty otwierane w pakiecie Microsoft Office.

MS16-052 wygląda na tę samą podatność dla przeglądarki Microsoft Edge. Tak, Edge to zupełnie nowa przeglądarka Microsoftu. Tak nowa, że niemal od samego swojego debiutu cierpi na te same luki, co Internet Explorer 11.

MS16-053 to zbiorcza poprawka dla silników JScriptu i VBScriptu dla systemów Vista, Windows Server 2008 i instalacji Server Core. Wygląda na to, że dotyczy tego samego problemu, co wyżej wspomniany.

MS16-054 dotyczy biblioteki fontów Windows. Odpowiednio spreparowane czcionki w dokumentach Microsoft Office (nie muszą to być pliki OOXML, może to być np. RTF), czy też osadzone na stronach internetowych, pozwalają na zdalne uruchomienie kodu. Ponownie problem związany jest z niewłaściwą obsługą obiektów w pamięci.

MS16-055 to zbiorcza poprawka dla komponentów Windows GDI w DirectX (błąd use-after-free) oraz Windows Imaging (memory corruption). One też pozwalają na zdalne uruchomienie kodu poprzez spreparowany dokument lub odwiedzenie złośliwej witryny.

MS16-056 dotyczy wszystkich trzech użytkowników aplikacji Windows Journal. Ponownie okazało się, że można dokumenty tego programu tak spreparować, by pozwalały na uruchomienie złośliwego kodu.

Finalnie na liście biuletynów krytycznych mamy MS16-057, związany z powłoką Windowsa (Windows Shell). Zagrożone są systemy w wersjach od 8.1 do 10 – błąd w obsłudze obiektów w pamięci pozwala na zdalne uruchomienie złośliwego kodu, także przez przeglądarkę internetową czy komunikator.

Pozostałe poprawki oznaczono jako „ważne”. MS16-058 przynosi łatkę dla webserwera IIS. Niewłaściwa walidacja danych na wejściu w bibliotece DLL pozwala na zdalne uruchomienie kodu w systemach Vista i Windows Server 2008. MS16-059 to z kolei dziura w odtwarzaczu mediów Windows Media Center – tutaj niewłaściwa obsługa niektórych zasobów umożliwiła zdalne uruchomienie kodu poprzez plik z rozszerzeniem .mcl. MS16-060 jest znacznie ciekawsze, i aż dziw, że zostało zaklasyfikowane jako tylko „ważne” – błąd w przetwarzaniu niektórych linków symbolicznych pozwala na uzyskanie uprawnień administratora systemu, działa to w systemach od Visty po najnowszą „dziesiątkę”. Analogiczny błąd pozwalający na „dostanie admina” znaleziono w komponencie odpowiedzialnym za obsługę żądań RPC (Remote Procedure Call) – załatany został biuletynem MS16-061.

MS16-062 to zbiorczy zestaw łatek do sterowników Windowsa, w większości chodzi tu o 32-bitowe wersje systemu. Łatka ta rozwiązuje też problemy z DirectX Graphics Kernel. MS16-064 to zaś zbiorczy zestaw poprawek dla zintegrowanej wtyczki Flash od Adobe. W MS16-065 załatano błąd w szyfrowanej komunikacji po TLS/SSL, który pozwalał napastnikom na odszyfrowanie ruchu między aplikacjami napisanymi z użyciem .NET Frameworka. MS16-066 to łatka chroniąca przed możliwością obejścia zabezpieczeń trybu Virtual Secure Mode – wygląda na to, że maszyny wirtualne mogły sobie pozwolić na nieuprawniony zapis do pamięci, nawet przy włączonej usłudze HVCI (Hypervisor Code Integrity). Ostatnim biuletynem w tym miesiącu jest MS16-067, który rozwiązuje problem z wyciekiem danych, możliwym gdy dysk USB zostanie zamontowany zdalnie po RDP przez Microsoft RemoteFX.

Można się spodziewać, że twórcy malware już intensywnie pracują nad odwrotną inżynierią opublikowanych łatek i gotowe exploity będą gotowe lada moment. Użytkownikom Windowsów pozostaje więc tylko włączyć Windows Update i czekać, aż aktualizacja systemu zostanie zakończona.
Za: dobreprogramy.pl]]> Majowa seria biuletynów bezpieczeństwa Microsoftu już za nami. Tym razem znaleziono 36 luk, a załatano je za pomocą 15 poprawek. Jak zwykle znaczna ich część dotyczy przeglądarek, po raz kolejny pokazując, że uszczelnienie Edge i Explorera jest chyba niemożliwe. Problemy znaleziono też w stosie grafiki oraz osadzonych w kernelu NT sterownikach.

Siedem biuletynów zaklasyfikowano jako „krytyczne”. Oto one:

MS16-051 jest związany z błędami w silniku skryptowym Internet Explorera. Błąd w obsłudze obiektów w pamięci pozwala na zdalne uruchomienie kodu z uprawnieniami zalogowanego użytkownika. Poprzez wykorzystanie kontrolek ActiveX do ataku na tę podatność można też wykorzystać dokumenty otwierane w pakiecie Microsoft Office.

MS16-052 wygląda na tę samą podatność dla przeglądarki Microsoft Edge. Tak, Edge to zupełnie nowa przeglądarka Microsoftu. Tak nowa, że niemal od samego swojego debiutu cierpi na te same luki, co Internet Explorer 11.

MS16-053 to zbiorcza poprawka dla silników JScriptu i VBScriptu dla systemów Vista, Windows Server 2008 i instalacji Server Core. Wygląda na to, że dotyczy tego samego problemu, co wyżej wspomniany.

MS16-054 dotyczy biblioteki fontów Windows. Odpowiednio spreparowane czcionki w dokumentach Microsoft Office (nie muszą to być pliki OOXML, może to być np. RTF), czy też osadzone na stronach internetowych, pozwalają na zdalne uruchomienie kodu. Ponownie problem związany jest z niewłaściwą obsługą obiektów w pamięci.

MS16-055 to zbiorcza poprawka dla komponentów Windows GDI w DirectX (błąd use-after-free) oraz Windows Imaging (memory corruption). One też pozwalają na zdalne uruchomienie kodu poprzez spreparowany dokument lub odwiedzenie złośliwej witryny.

MS16-056 dotyczy wszystkich trzech użytkowników aplikacji Windows Journal. Ponownie okazało się, że można dokumenty tego programu tak spreparować, by pozwalały na uruchomienie złośliwego kodu.

Finalnie na liście biuletynów krytycznych mamy MS16-057, związany z powłoką Windowsa (Windows Shell). Zagrożone są systemy w wersjach od 8.1 do 10 – błąd w obsłudze obiektów w pamięci pozwala na zdalne uruchomienie złośliwego kodu, także przez przeglądarkę internetową czy komunikator.

Pozostałe poprawki oznaczono jako „ważne”. MS16-058 przynosi łatkę dla webserwera IIS. Niewłaściwa walidacja danych na wejściu w bibliotece DLL pozwala na zdalne uruchomienie kodu w systemach Vista i Windows Server 2008. MS16-059 to z kolei dziura w odtwarzaczu mediów Windows Media Center – tutaj niewłaściwa obsługa niektórych zasobów umożliwiła zdalne uruchomienie kodu poprzez plik z rozszerzeniem .mcl. MS16-060 jest znacznie ciekawsze, i aż dziw, że zostało zaklasyfikowane jako tylko „ważne” – błąd w przetwarzaniu niektórych linków symbolicznych pozwala na uzyskanie uprawnień administratora systemu, działa to w systemach od Visty po najnowszą „dziesiątkę”. Analogiczny błąd pozwalający na „dostanie admina” znaleziono w komponencie odpowiedzialnym za obsługę żądań RPC (Remote Procedure Call) – załatany został biuletynem MS16-061.

MS16-062 to zbiorczy zestaw łatek do sterowników Windowsa, w większości chodzi tu o 32-bitowe wersje systemu. Łatka ta rozwiązuje też problemy z DirectX Graphics Kernel. MS16-064 to zaś zbiorczy zestaw poprawek dla zintegrowanej wtyczki Flash od Adobe. W MS16-065 załatano błąd w szyfrowanej komunikacji po TLS/SSL, który pozwalał napastnikom na odszyfrowanie ruchu między aplikacjami napisanymi z użyciem .NET Frameworka. MS16-066 to łatka chroniąca przed możliwością obejścia zabezpieczeń trybu Virtual Secure Mode – wygląda na to, że maszyny wirtualne mogły sobie pozwolić na nieuprawniony zapis do pamięci, nawet przy włączonej usłudze HVCI (Hypervisor Code Integrity). Ostatnim biuletynem w tym miesiącu jest MS16-067, który rozwiązuje problem z wyciekiem danych, możliwym gdy dysk USB zostanie zamontowany zdalnie po RDP przez Microsoft RemoteFX.

Można się spodziewać, że twórcy malware już intensywnie pracują nad odwrotną inżynierią opublikowanych łatek i gotowe exploity będą gotowe lada moment. Użytkownikom Windowsów pozostaje więc tylko włączyć Windows Update i czekać, aż aktualizacja systemu zostanie zakończona.
Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 04/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-04-2016-49755-t Thu, 14 Apr 2016 06:30:13 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-04-2016-49755-t Załatane w kwietniu błędy w oprogramowaniu Microsoftu zmieściły się w 13 biuletynach bezpieczeństwa. W sumie jest jak zwykle, luki w Internet Explorerze, Office, Windowsie... ale jest wśród nich luka znacznie bardziej spektakularna, a dotykająca tych, którzy utrzymują serwery na Windowsie. Maszyny wirtualne działające na hoście z Hyper-V mogły otóż uzyskać dostęp do zasobów sprzętowych systemu-gospodarza.

Wspomniany błąd został ujęty w biuletynie MS16-045. Określony zaledwie jako „ważny”, wydaje się jednak krytycznym. Szczegółów nie ujawniono, ale możliwość ominięcia izolacji zapewnianej przez wirtualizację na systemach od Windows 8.1 po Windows Server 2012 R2, otwierająca drogę do zdalnego uruchomienia kodu na hoście, a nawet podejrzenia zawartości innych maszyn wirtualnych brzmi niezbyt miło.

Pozostałe błędy są już bardziej standardowe. Sześć luk w przeglądarce, w tym dotyczących możliwości zdalnego uruchamiania kodu przez złośliwe strony internetowe, zostało ujętych w biuletynach MS16-037 (dla Internet Explorera) i MS16-038 (dla Microsoft Edge). Patrząc po tym, jak wiele biuletynów dla IE zostaje powtórzonych następnie dla Edge'a można sądzić, że obie przeglądarki zbyt mało jednak dzieli.

MS16-039 przynosi łatkę do luki pozwalające na zdalne uruchamianie kodu w Windowsie, .NET Frameworku, Microsoft Office, kliencie Skype for Business i Microsoft Lyncu. Ponownie problem dotyczy uzłośliwionych fontów, które mogłyby być osadzone w dokumencie lub na stronie internetowej. Ciekawie wygląda też MS16-040. Tutaj błąd w systemowym komponencie XML Core Services pozwala na przejęcie kontroli nad zaatakowaną maszyną. Wystarczy kliknąć linka przesłanego w e-mailu czy wiadomości błyskawicznej.

MS16-041 dotyczy błędu w .NET Frameworku, otwierającym drogę do zdalnej instalacji i uruchomienia oprogramowania na komputerze ofiary. Na szczęście napastnik musi mieć w systemie już wcześniej założone konto. MS16-042 wiąże się z błędami obsługi pamięci w pakiecie Office. Jeśli użytkownika Office nakłonicie do otworzenia spreparowanych dokumentów, to być może uda się zdalnie uruchomić u niego złośliwy kod. Analogiczny błąd znajdziemy w Windows OLE (MS16-044) – i tu możliwe jest zdalne uruchomienie złośliwego kodu poprzez podesłanie ofierze spreparowanego pliku lub nakłonienie jej do wejścia na zainfekowaną stronę internetową.

Uruchomionemu zdalnie złośliwemu oprogramowaniu można nadać lepsze uprawnienia, np. administratora, za sprawą załatanego w biuletynie MS16-046 błędu w Windows Secondary Logon. Z kolei MS16-047 opisuje atak man-in-the-middle na komponenty Windows Security Account Manager oraz Local Security Authority Domain, pozwalający na obniżenie poziomu zabezpieczeń i podszycie się pod użytkownika przez napastnika, który może monitorować ruch sieciowy.

Pozostałe biuletyny to MS16-048 dotyczący błędu obsługi pamięci w komponencie Windows CSRSS, pozwalającego uzyskać dostęp administracyjny, MS16-049, umożliwiającego łatwe ataki DoS na maszyny z systemami Microsoftu (by zamrozić „okienka” wystarczy wysłać spreparowany pakiet HTTP), oraz MS16-050, który jest zbiorem łatek dostarczonych przez Adobe do Flash Playera.

Na koniec dość zabawna sprawa, którą być może ktoś kiedyś zmilitaryzuje. Okazuje się, że niektóre bezprzewodowe myszki Microsoftu mogą zadziałać jako klawiatury. Wystarczy wstrzyknąć w ich komunikację z komputerem odpowiednie pakiety, rozpoznawane jako naciśnięcia klawiszy. Na systemach z zablokowanymi klawiaturami otwiera to drogę do rozmaitych ciekawych ingerencji w system. Więcej na ten temat w poradzie bezpieczeństwa 3152550.
Za: dobreprogramy.pl]]> Załatane w kwietniu błędy w oprogramowaniu Microsoftu zmieściły się w 13 biuletynach bezpieczeństwa. W sumie jest jak zwykle, luki w Internet Explorerze, Office, Windowsie... ale jest wśród nich luka znacznie bardziej spektakularna, a dotykająca tych, którzy utrzymują serwery na Windowsie. Maszyny wirtualne działające na hoście z Hyper-V mogły otóż uzyskać dostęp do zasobów sprzętowych systemu-gospodarza.

Wspomniany błąd został ujęty w biuletynie MS16-045. Określony zaledwie jako „ważny”, wydaje się jednak krytycznym. Szczegółów nie ujawniono, ale możliwość ominięcia izolacji zapewnianej przez wirtualizację na systemach od Windows 8.1 po Windows Server 2012 R2, otwierająca drogę do zdalnego uruchomienia kodu na hoście, a nawet podejrzenia zawartości innych maszyn wirtualnych brzmi niezbyt miło.

Pozostałe błędy są już bardziej standardowe. Sześć luk w przeglądarce, w tym dotyczących możliwości zdalnego uruchamiania kodu przez złośliwe strony internetowe, zostało ujętych w biuletynach MS16-037 (dla Internet Explorera) i MS16-038 (dla Microsoft Edge). Patrząc po tym, jak wiele biuletynów dla IE zostaje powtórzonych następnie dla Edge'a można sądzić, że obie przeglądarki zbyt mało jednak dzieli.

MS16-039 przynosi łatkę do luki pozwalające na zdalne uruchamianie kodu w Windowsie, .NET Frameworku, Microsoft Office, kliencie Skype for Business i Microsoft Lyncu. Ponownie problem dotyczy uzłośliwionych fontów, które mogłyby być osadzone w dokumencie lub na stronie internetowej. Ciekawie wygląda też MS16-040. Tutaj błąd w systemowym komponencie XML Core Services pozwala na przejęcie kontroli nad zaatakowaną maszyną. Wystarczy kliknąć linka przesłanego w e-mailu czy wiadomości błyskawicznej.

MS16-041 dotyczy błędu w .NET Frameworku, otwierającym drogę do zdalnej instalacji i uruchomienia oprogramowania na komputerze ofiary. Na szczęście napastnik musi mieć w systemie już wcześniej założone konto. MS16-042 wiąże się z błędami obsługi pamięci w pakiecie Office. Jeśli użytkownika Office nakłonicie do otworzenia spreparowanych dokumentów, to być może uda się zdalnie uruchomić u niego złośliwy kod. Analogiczny błąd znajdziemy w Windows OLE (MS16-044) – i tu możliwe jest zdalne uruchomienie złośliwego kodu poprzez podesłanie ofierze spreparowanego pliku lub nakłonienie jej do wejścia na zainfekowaną stronę internetową.

Uruchomionemu zdalnie złośliwemu oprogramowaniu można nadać lepsze uprawnienia, np. administratora, za sprawą załatanego w biuletynie MS16-046 błędu w Windows Secondary Logon. Z kolei MS16-047 opisuje atak man-in-the-middle na komponenty Windows Security Account Manager oraz Local Security Authority Domain, pozwalający na obniżenie poziomu zabezpieczeń i podszycie się pod użytkownika przez napastnika, który może monitorować ruch sieciowy.

Pozostałe biuletyny to MS16-048 dotyczący błędu obsługi pamięci w komponencie Windows CSRSS, pozwalającego uzyskać dostęp administracyjny, MS16-049, umożliwiającego łatwe ataki DoS na maszyny z systemami Microsoftu (by zamrozić „okienka” wystarczy wysłać spreparowany pakiet HTTP), oraz MS16-050, który jest zbiorem łatek dostarczonych przez Adobe do Flash Playera.

Na koniec dość zabawna sprawa, którą być może ktoś kiedyś zmilitaryzuje. Okazuje się, że niektóre bezprzewodowe myszki Microsoftu mogą zadziałać jako klawiatury. Wystarczy wstrzyknąć w ich komunikację z komputerem odpowiednie pakiety, rozpoznawane jako naciśnięcia klawiszy. Na systemach z zablokowanymi klawiaturami otwiera to drogę do rozmaitych ciekawych ingerencji w system. Więcej na ten temat w poradzie bezpieczeństwa 3152550.
Za: dobreprogramy.pl]]> <![CDATA[Microsoft podpowiada jak rozwiązać problemy z ponowną instalacją łatki KB3119142]]> https://windows7forum.pl/microsoft-podpowiada-jak-rozwiazac-problemy-z-ponowna-instalacja-latki-kb3119142-49232-t Sun, 28 Feb 2016 06:50:28 +0100 https://windows7forum.pl/microsoft-podpowiada-jak-rozwiazac-problemy-z-ponowna-instalacja-latki-kb3119142-49232-t Jeśli zauważyliście na własnych komputerach problemy z aktualizacją KB3119142 dla Windows 10, która przy każdym ponownym uruchomieniu maszyny próbuje zainstalować się ponownie, to Microsoft ma rozwiązanie.

W zeszłym miesiącu Microsoft udostępnił uaktualnienie dla Windows 10 oznaczone numerem KB3119142, które opisano jako: aktualizacją pakietu redystrybucyjnego oprogramowania Microsoft Visual C++ 2012 aktualizacja 4.

Niestety, okazało się, że na niektórych komputerach aktualizacja okazała się psotliwa. Problemy objawiają się ciągłą próbą ponownej instalacji patcha przy każdym ponownym uruchomieniu maszyny. Na szczęście, uaktualnienie za każdym razem instaluje się z powodzeniem, ale mimo wszystko proces jest dosyć uciążliwy.

Microsoft zdołał znaleźć przyczyny problemu i podpowiada co zrobić z łatką KB3119142, gdy ta cały czas instaluje się na nowo. Pierwszym rozwiązaniem jest próba naprawy pakietu redystrybucyjnego z poziomu panelu sterowania. Znacznie łatwiejszą metodą jest jednak uruchomienie naprawy z pliku, który pobierzecie stad. Po ściągnięciu paczki z instalatorem należy uruchomić go podwójnym kliknięciem myszą i dokonać naprawy postępując według instrukcji wyświetlanych przez kreatora. Problemy powinny zniknąć.
źródło: softpedia, za: Kś.pl]]> Jeśli zauważyliście na własnych komputerach problemy z aktualizacją KB3119142 dla Windows 10, która przy każdym ponownym uruchomieniu maszyny próbuje zainstalować się ponownie, to Microsoft ma rozwiązanie.

W zeszłym miesiącu Microsoft udostępnił uaktualnienie dla Windows 10 oznaczone numerem KB3119142, które opisano jako: aktualizacją pakietu redystrybucyjnego oprogramowania Microsoft Visual C++ 2012 aktualizacja 4.

Niestety, okazało się, że na niektórych komputerach aktualizacja okazała się psotliwa. Problemy objawiają się ciągłą próbą ponownej instalacji patcha przy każdym ponownym uruchomieniu maszyny. Na szczęście, uaktualnienie za każdym razem instaluje się z powodzeniem, ale mimo wszystko proces jest dosyć uciążliwy.

Microsoft zdołał znaleźć przyczyny problemu i podpowiada co zrobić z łatką KB3119142, gdy ta cały czas instaluje się na nowo. Pierwszym rozwiązaniem jest próba naprawy pakietu redystrybucyjnego z poziomu panelu sterowania. Znacznie łatwiejszą metodą jest jednak uruchomienie naprawy z pliku, który pobierzecie stad. Po ściągnięciu paczki z instalatorem należy uruchomić go podwójnym kliknięciem myszą i dokonać naprawy postępując według instrukcji wyświetlanych przez kreatora. Problemy powinny zniknąć.
źródło: softpedia, za: Kś.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 02/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-02-2016-49028-t Thu, 11 Feb 2016 06:19:15 +0100 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-02-2016-49028-t
Za nami kolejny drugi wtorek miesiąca, przed nami obowiązkowe łatanie oprogramowania Microsoftu. W porównaniu do styczniowych biuletynów bezpieczeństwa jest znacznie gorzej – poprawki dotyczą aż 41 luk w zabezpieczeniach. Są wśród nich luki pozwalające na zdalne ataki przez przeglądarki Internet Explorer i Microsoft Edge, ale też z wykorzystaniem wbudowanej w system wyświetlarki PDF-ów i pakietu Office.

Zacznijmy od krytycznego, zbiorczego biuletynu MS16-011, przeznaczonego dla użytkowników Windows 10. Rozwiązuje on problemy z nieprawidłowym parsowaniem odpowiedzi HTTP, co pozwala na przekierowanie ofiary na stronę serwującą złośliwy kod. Poprawiono obsługę wyjątków przy przekazywaniu wiadomości do okienek – w pewnych okolicznościach napastnik mógł wykorzystać to do obejścia zabezpieczeń randomizacji przestrzeni adresowej (ASLR). Usunięto też liczne błędy w uzyskiwaniu dostępu do obiektów w pamięci, co pozwalało na uruchomienie własnego kodu z uprawnieniami zalogowanego użytkownika.

Pod numerkiem MS16-009 (nie wiemy dlaczego – MS16-010 jest łatką jeszcze ze stycznia) udostępniono zestaw łatek dla Internet Explorera, dotyczących przestrzegania polityk bezpieczeństwa międzydomenowego, obsługi obiektów w pamięci, walidacji przy linkowaniu i osadzaniu obiektów przy ładowaniu bibliotek i parsowaniu odpowiedzi HTTP. Błędy te określono jako krytyczne – pozwalają na zdalne uruchomienie kodu na komputerze ofiary.

Do luk w przeglądarkach Microsoftu zdążyliśmy się przyzwyczaić. MS16-012 mówi jednak o niepoprawnej obsłudze interfejsu programowania w Windows PDF Library. Doprowadzenie do przepełnienia bufora pozwala na uruchomienie złośliwego kodu osadzonego w spreparowanych dokumentach PDF, otwieranych w Windows Readerze.

Jeśli ktoś korzysta z systemu notatek Windows Journal, to z biuletynu MS16-013 dowie się, że i notatka może pozwolić na uruchomienie złośliwego kodu. Dotknięte tym są praktycznie wszystkie wersje Windowsów, od Visty po 10. Problem dotyczy błędów w parsowaniu plików z notatkami, odpowiednio spreparowana notatka może zawierać złośliwy kod, który zostanie uruchomiony.

Idziemy teraz w głąb, do samego systemu. Zbiorczy biuletyn MS16-014 określono jako „ważny”. Dotyczy problemów z niewłaściwą obsługą obiektów w pamięci, pozwalających na Windows Vista i 7 uzyskanie uprawnień administracyjnych, niepoprawej walidacji danych na wejściu przed ładowaniem plików DLL, pozwalających na uruchmienie kodu z uprawnieniami zalogowanego użytkownika, podatności na zdalny atak Denial of Service usługi SyncShareSvc, oraz możliwości obejścia uwierzytelnienia przez mechanizm Kerberos i w konsekwencji odszyfrowania dysków chronionych BitLockerem. To ostatnie przypomina nieco MS15-122 z zeszłego roku, kiedy to pokazano, jak wykorzystać złośliwy kontroler domeny do oszukania systemu uwierzytelniania Windowsów.

Poprawki z zeszłego miesiąca dla Remote Desktop Protocol najwyraźniej nie wystarczyły! Biuletyn MS16-017 mówi o możliwości zalogowania się do Windowsów po RDP – i w trakcie tego logowania wysłania odpowiednio spreparowanych pakietów, co pozwala na podwyższenie uprawnień (nawet do poziomu administratora) i zdalne uruchomienie złośliwego kodu. Na szczęście domyślnie w systemie RDP jest wyłączony. Podobny problem dotyczy protokołu WebDAV, biuletyn MS16-016 wspomina o możliwości uprawnień dla uwierzytelnionych użytkowników, oraz sterowników trybu kernela (MS16-018)

Łącznie sześć błędów związanych z obsługą pamięci przez Microsoft Office obejmuje biuletyn MS16-015. Dotyczą one praktycznie wszystkich wersji tego pakietu biurowego, co gorsza nie tylko na Windowsy, ale też na Maki. O ile poprawka dla „okienek” została wydana, użytkownicy Maków nie dostali jeszcze niczego (otrzymają powiadomienie, gdy łatki będą dostępne). Miejmy nadzieję, że nastąpi to zanim hakerzy metodami odwrotnej inżynierii zlokalizują te błędy. Sytuacja jest groźna, gdyż wykorzystanie tych luk pozwala na uruchomienie osadzonego w dokumencie dowolnego kodu z uprawnieniami zalogowanego użytkownika.

Finalnie należy wspomnieć o trzech biuletynach MS16-019, MS16-020 oraz MS16-021, związanych z podatnościami na ataki Denial-of- Service w .NET Frameworku, Windows Serverze 2012 R2 oraz serwerze uwierzytelniania sieci Radius.

Biorąc pod uwagę rozmiar opisanego tu oprogramowania, Microsoft nie jest jeszcze taki zły. W wydanych wczoraj łatkach dla samego tylko Flash Playera, Adobe załatało 22 luki. Wszystkie one pozwalają na zdalny atak. Ktoś jeszcze chce używać Flasha w imię tych wszystkich fajnych gierek webowych?
Za: dobreprogramy.pl]]>
Za nami kolejny drugi wtorek miesiąca, przed nami obowiązkowe łatanie oprogramowania Microsoftu. W porównaniu do styczniowych biuletynów bezpieczeństwa jest znacznie gorzej – poprawki dotyczą aż 41 luk w zabezpieczeniach. Są wśród nich luki pozwalające na zdalne ataki przez przeglądarki Internet Explorer i Microsoft Edge, ale też z wykorzystaniem wbudowanej w system wyświetlarki PDF-ów i pakietu Office.

Zacznijmy od krytycznego, zbiorczego biuletynu MS16-011, przeznaczonego dla użytkowników Windows 10. Rozwiązuje on problemy z nieprawidłowym parsowaniem odpowiedzi HTTP, co pozwala na przekierowanie ofiary na stronę serwującą złośliwy kod. Poprawiono obsługę wyjątków przy przekazywaniu wiadomości do okienek – w pewnych okolicznościach napastnik mógł wykorzystać to do obejścia zabezpieczeń randomizacji przestrzeni adresowej (ASLR). Usunięto też liczne błędy w uzyskiwaniu dostępu do obiektów w pamięci, co pozwalało na uruchomienie własnego kodu z uprawnieniami zalogowanego użytkownika.

Pod numerkiem MS16-009 (nie wiemy dlaczego – MS16-010 jest łatką jeszcze ze stycznia) udostępniono zestaw łatek dla Internet Explorera, dotyczących przestrzegania polityk bezpieczeństwa międzydomenowego, obsługi obiektów w pamięci, walidacji przy linkowaniu i osadzaniu obiektów przy ładowaniu bibliotek i parsowaniu odpowiedzi HTTP. Błędy te określono jako krytyczne – pozwalają na zdalne uruchomienie kodu na komputerze ofiary.

Do luk w przeglądarkach Microsoftu zdążyliśmy się przyzwyczaić. MS16-012 mówi jednak o niepoprawnej obsłudze interfejsu programowania w Windows PDF Library. Doprowadzenie do przepełnienia bufora pozwala na uruchomienie złośliwego kodu osadzonego w spreparowanych dokumentach PDF, otwieranych w Windows Readerze.

Jeśli ktoś korzysta z systemu notatek Windows Journal, to z biuletynu MS16-013 dowie się, że i notatka może pozwolić na uruchomienie złośliwego kodu. Dotknięte tym są praktycznie wszystkie wersje Windowsów, od Visty po 10. Problem dotyczy błędów w parsowaniu plików z notatkami, odpowiednio spreparowana notatka może zawierać złośliwy kod, który zostanie uruchomiony.

Idziemy teraz w głąb, do samego systemu. Zbiorczy biuletyn MS16-014 określono jako „ważny”. Dotyczy problemów z niewłaściwą obsługą obiektów w pamięci, pozwalających na Windows Vista i 7 uzyskanie uprawnień administracyjnych, niepoprawej walidacji danych na wejściu przed ładowaniem plików DLL, pozwalających na uruchmienie kodu z uprawnieniami zalogowanego użytkownika, podatności na zdalny atak Denial of Service usługi SyncShareSvc, oraz możliwości obejścia uwierzytelnienia przez mechanizm Kerberos i w konsekwencji odszyfrowania dysków chronionych BitLockerem. To ostatnie przypomina nieco MS15-122 z zeszłego roku, kiedy to pokazano, jak wykorzystać złośliwy kontroler domeny do oszukania systemu uwierzytelniania Windowsów.

Poprawki z zeszłego miesiąca dla Remote Desktop Protocol najwyraźniej nie wystarczyły! Biuletyn MS16-017 mówi o możliwości zalogowania się do Windowsów po RDP – i w trakcie tego logowania wysłania odpowiednio spreparowanych pakietów, co pozwala na podwyższenie uprawnień (nawet do poziomu administratora) i zdalne uruchomienie złośliwego kodu. Na szczęście domyślnie w systemie RDP jest wyłączony. Podobny problem dotyczy protokołu WebDAV, biuletyn MS16-016 wspomina o możliwości uprawnień dla uwierzytelnionych użytkowników, oraz sterowników trybu kernela (MS16-018)

Łącznie sześć błędów związanych z obsługą pamięci przez Microsoft Office obejmuje biuletyn MS16-015. Dotyczą one praktycznie wszystkich wersji tego pakietu biurowego, co gorsza nie tylko na Windowsy, ale też na Maki. O ile poprawka dla „okienek” została wydana, użytkownicy Maków nie dostali jeszcze niczego (otrzymają powiadomienie, gdy łatki będą dostępne). Miejmy nadzieję, że nastąpi to zanim hakerzy metodami odwrotnej inżynierii zlokalizują te błędy. Sytuacja jest groźna, gdyż wykorzystanie tych luk pozwala na uruchomienie osadzonego w dokumencie dowolnego kodu z uprawnieniami zalogowanego użytkownika.

Finalnie należy wspomnieć o trzech biuletynach MS16-019, MS16-020 oraz MS16-021, związanych z podatnościami na ataki Denial-of- Service w .NET Frameworku, Windows Serverze 2012 R2 oraz serwerze uwierzytelniania sieci Radius.

Biorąc pod uwagę rozmiar opisanego tu oprogramowania, Microsoft nie jest jeszcze taki zły. W wydanych wczoraj łatkach dla samego tylko Flash Playera, Adobe załatało 22 luki. Wszystkie one pozwalają na zdalny atak. Ktoś jeszcze chce używać Flasha w imię tych wszystkich fajnych gierek webowych?
Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 01/2016]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-01-2016-48828-t Mon, 25 Jan 2016 07:58:15 +0100 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-01-2016-48828-t Pierwszy w tym roku zestaw biuletynów bezpieczeństwa od Microsoftu nie rozczarowuje. Wśród 25 załatanych luk możemy znaleźć prawdziwe perełki, które choć jak producent Windows utrzymuje nie zostały jeszcze wyexploitowane, to niewątpliwie już niebawem posłużą do nowych ataków. Jak na razie u nas aktualizacja przebiegła bezproblemowo, więc zachęcamy Was do szybkiej instalacji. Użytkownicy starszych wersji „okienek” powinni jednak uważać – Microsoft najwyraźniej ulepszył swoje narzędzia do promowania Windowsa 10, zmiany w rejestrze mogą nie wystarczyć już do ich wyłączenia.

Tym razem nie będzie po kolei. Najbardziej interesujący wśród styczniowych biuletynów wydaje się MS16-007, naprawiający łącznie sześć luk w Windowsach, związanych z walidacją danych przed załadowaniem bibliotek DLL, uwierzytelniania formularzy przez DirectShow i zdalnego logowania do kont bez haseł. Tak, dobrze czytacie. Windows 10 Remote Desktop Protocol pozwalał napastnikom na zdalne zalogowanie się do profili użytkowników bez haseł. Normalnie RDP dla takich kont jest zablokowany, jednak z jakiegoś powodu w „dziesiątce” było inaczej.

Nie obyło się bez poprawek dla Internet Explorera (MS16-001) i Microsoft Edge (MS16-002). Ta pierwsza jest prawdopodobnie ostatnią, którą starsze wersje IE otrzymają, dotyczy problemów z obsługą obiektów w pamięci przez silnik JavaScriptu i przestrzeganiu polityk cross-domain, a jej wykorzystanie pozwala na zdalne uruchomienie złośliwego kodu. Edge miało podobne problemy, przede wszystkim w silniku skryptowym Chakra, co i w tym wypadku pozwalało na zdalne urchomienie złośliwego kodu. Podobne (a może i te same) błędy dotyczą niezależnego systemowego silnika VBScriptu i JScriptu, rozwiązano je w poprawkach z biuletynu MS16-003.

Czwarty z kolei biuletyn (MS16-004) dotyczy Microsoft Office'a w wersjach od 2007 do 2016. Błędy w implementacji randomizacji przestrzeni adresowej, obsłudze obiektów w pamięci i przestrzeganiu ustawień polityk kontroli dostępu pozwoliły na zdalne uruchomienie złośliwego kodu z uprawnieniami zalogowanego użytkownika, który osadzić można w pliku dokumentu tego pakietu biurowego. Nie ma to jak multiplatformowość: zagrożeni są też użytkownicy Maków, korzystający z Office 2011 i 2016 na swoich komputerach.

MS16-005 jest poprawką dla dwóch usterek w Windowsach, z których jedna pozwala na zdalne uruchomienie kodu na komputerze ofiary, która odwiedziła odpowiednio spreparowaną stronę internetową, druga zaś dotyczy eskalacji uprawnień takiego procesu. Najbardziej zagrożeni są w tym wypadku użytkownicy Visty i Windows 7, w pozostałych wersjach okienek dojść może jedynie do ujawnienia wrażliwych danych. A gdzie tkwił błąd? Tym razem zawiniła biblioteka GDI (graphics device interface), odpowiedzialna za przedstawienie obiektów graficznych i dostarczenie ich na urządzenia wyjściowe.

Kolejny multiplatformowy błąd łatany jest przez MS16-006. Dotyczy on Silverlighta, nie tylko na Windowsie, ale też na OS-ie X. Zachęcając użytkownika do odwiedzenia odpowiednio spreparowanej witryny z treściami w Silverlighcie można uruchomić u niego złośliwy kod. Problem dotyczy możliwości podmiany nagłówków obiektów przetwarzanych przez złośliwy dekoder nagłówkami dostarczonymi przez napastnika.

Warty uwagi jest też biuletyn MS16-008. Przynosi on łatkę na luki, które umożliwiały wykorzystanie punktów montowania systemu plików do eskalacji uprawnień, pozwalając napastnikowi uruchomić swój kod z uprawnieniami administratora. Z jakiegoś powodu nie ma biuletynu MS16-009 (czyżby został w ostatniej chwili wycofany?), jest za to biuletyn MS16-010, naprawiający luki w serwerze poczty Exchange (wersje 2013 i 2016), który niewłaściwie obsługując żądania webowe pozwalał na wydobycie wrażliwych informacji użytkowników i uruchomienie u nich ataków skryptowych.

Pojawiły się niestety też informacje, że wraz z instalacją nowych biuletynów użytkownicy starszych Windowsów mogą dostać nową łatkę, która dwa razy dziennie resetuje w rejestrze ustawienia flagi [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
WindowsUpdate\OSUpgrade\AllowOSUpgrade] do wartości 1, co sprawia, że programy takie jak GWX Control Panel, używane do zablokowania nagabywań o aktualizacji do Windowsa 10, przestają być skuteczne. Jeszcze tej łatki nie przyłapaliśmy, ale będziemy śledzić tę sprawę i szukać rozwiązań, tak by jednak w tej zabawie w kotka i myszkę z przymusową darmową aktualizacją to użytkownik wygrał, a nie Microsoft.
Za: dobreprogramy.pl]]> Pierwszy w tym roku zestaw biuletynów bezpieczeństwa od Microsoftu nie rozczarowuje. Wśród 25 załatanych luk możemy znaleźć prawdziwe perełki, które choć jak producent Windows utrzymuje nie zostały jeszcze wyexploitowane, to niewątpliwie już niebawem posłużą do nowych ataków. Jak na razie u nas aktualizacja przebiegła bezproblemowo, więc zachęcamy Was do szybkiej instalacji. Użytkownicy starszych wersji „okienek” powinni jednak uważać – Microsoft najwyraźniej ulepszył swoje narzędzia do promowania Windowsa 10, zmiany w rejestrze mogą nie wystarczyć już do ich wyłączenia.

Tym razem nie będzie po kolei. Najbardziej interesujący wśród styczniowych biuletynów wydaje się MS16-007, naprawiający łącznie sześć luk w Windowsach, związanych z walidacją danych przed załadowaniem bibliotek DLL, uwierzytelniania formularzy przez DirectShow i zdalnego logowania do kont bez haseł. Tak, dobrze czytacie. Windows 10 Remote Desktop Protocol pozwalał napastnikom na zdalne zalogowanie się do profili użytkowników bez haseł. Normalnie RDP dla takich kont jest zablokowany, jednak z jakiegoś powodu w „dziesiątce” było inaczej.

Nie obyło się bez poprawek dla Internet Explorera (MS16-001) i Microsoft Edge (MS16-002). Ta pierwsza jest prawdopodobnie ostatnią, którą starsze wersje IE otrzymają, dotyczy problemów z obsługą obiektów w pamięci przez silnik JavaScriptu i przestrzeganiu polityk cross-domain, a jej wykorzystanie pozwala na zdalne uruchomienie złośliwego kodu. Edge miało podobne problemy, przede wszystkim w silniku skryptowym Chakra, co i w tym wypadku pozwalało na zdalne urchomienie złośliwego kodu. Podobne (a może i te same) błędy dotyczą niezależnego systemowego silnika VBScriptu i JScriptu, rozwiązano je w poprawkach z biuletynu MS16-003.

Czwarty z kolei biuletyn (MS16-004) dotyczy Microsoft Office'a w wersjach od 2007 do 2016. Błędy w implementacji randomizacji przestrzeni adresowej, obsłudze obiektów w pamięci i przestrzeganiu ustawień polityk kontroli dostępu pozwoliły na zdalne uruchomienie złośliwego kodu z uprawnieniami zalogowanego użytkownika, który osadzić można w pliku dokumentu tego pakietu biurowego. Nie ma to jak multiplatformowość: zagrożeni są też użytkownicy Maków, korzystający z Office 2011 i 2016 na swoich komputerach.

MS16-005 jest poprawką dla dwóch usterek w Windowsach, z których jedna pozwala na zdalne uruchomienie kodu na komputerze ofiary, która odwiedziła odpowiednio spreparowaną stronę internetową, druga zaś dotyczy eskalacji uprawnień takiego procesu. Najbardziej zagrożeni są w tym wypadku użytkownicy Visty i Windows 7, w pozostałych wersjach okienek dojść może jedynie do ujawnienia wrażliwych danych. A gdzie tkwił błąd? Tym razem zawiniła biblioteka GDI (graphics device interface), odpowiedzialna za przedstawienie obiektów graficznych i dostarczenie ich na urządzenia wyjściowe.

Kolejny multiplatformowy błąd łatany jest przez MS16-006. Dotyczy on Silverlighta, nie tylko na Windowsie, ale też na OS-ie X. Zachęcając użytkownika do odwiedzenia odpowiednio spreparowanej witryny z treściami w Silverlighcie można uruchomić u niego złośliwy kod. Problem dotyczy możliwości podmiany nagłówków obiektów przetwarzanych przez złośliwy dekoder nagłówkami dostarczonymi przez napastnika.

Warty uwagi jest też biuletyn MS16-008. Przynosi on łatkę na luki, które umożliwiały wykorzystanie punktów montowania systemu plików do eskalacji uprawnień, pozwalając napastnikowi uruchomić swój kod z uprawnieniami administratora. Z jakiegoś powodu nie ma biuletynu MS16-009 (czyżby został w ostatniej chwili wycofany?), jest za to biuletyn MS16-010, naprawiający luki w serwerze poczty Exchange (wersje 2013 i 2016), który niewłaściwie obsługując żądania webowe pozwalał na wydobycie wrażliwych informacji użytkowników i uruchomienie u nich ataków skryptowych.

Pojawiły się niestety też informacje, że wraz z instalacją nowych biuletynów użytkownicy starszych Windowsów mogą dostać nową łatkę, która dwa razy dziennie resetuje w rejestrze ustawienia flagi [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
WindowsUpdate\OSUpgrade\AllowOSUpgrade] do wartości 1, co sprawia, że programy takie jak GWX Control Panel, używane do zablokowania nagabywań o aktualizacji do Windowsa 10, przestają być skuteczne. Jeszcze tej łatki nie przyłapaliśmy, ale będziemy śledzić tę sprawę i szukać rozwiązań, tak by jednak w tej zabawie w kotka i myszkę z przymusową darmową aktualizacją to użytkownik wygrał, a nie Microsoft.
Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 12/2015]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-12-2015-48281-t Thu, 10 Dec 2015 06:41:30 +0100 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-12-2015-48281-t Znów za nami drugi wtorek miesiąca, znów Microsoft wydał swoje biuletyny bezpieczeństwa, mające ochronić maszyny z Windows przed najnowszymi zagrożeniami. Tym razem dostaliśmy ich tuzin, łącznie obejmujących 75 luk – i znów na pierwszym planie są problemy z przeglądarkami z Redmond. To jednak nie wszystko. Mówi się o przykrej wpadce firmowego działu bezpieczeństwa, którego pracownicy zaoferowali hakerom fajny prezent, tj. klucze prywatne do certyfikatu SSL/TLS dla domeny xboxlive.com.

Przyjrzyjmy się jednak tym łatkom po kolei. MS15-124 to biuletyn zbiorczych łatek, eliminujących liczne, krytyczne luki w Internet Explorerze w wersjach od 7 do 11, pozwalające na zdalne uruchomienie wrogiego kodu z uprawnieniami zalogowanego użytkownika. Zbyt wiele informacji nie ujawniono, wiemy jedynie, że chodziło o obsługę obiektów w pamięci przez IE i silnik VBScriptu, niewłaściwe zachowanie filtru XSS, błędy w przetwarzaniu typów treści i polityk międzydomenowych.

Co ciekawe, tym razem Microsoft Edge miało więcej luk niż Internet Explorer. Również krytyczny biuletyn MS15-125, oprócz łatek pokrywających się z tymi, które dostał IE, eliminuje też podatność pozwalającą na obejście randomizacji przestrzeni adresowej (ASLR), błędy w parsowaniu odpowiedzi HTTP oraz dodaje walidację uprawnień do przeglądarki.

Nowe luki znaleziono też w silniku VBScriptu – ale dotyczą one już tylko Visty i Windows Servera 2008. Biuletyn MS15-126 mówi o możliwości zdalnego wykonania kodu przez spreparowane witryny, exploitujące podatności Internet Explorera, albo osadzaniu kontrolek ActiveX w dokumentach Microsoft Office, które wykorzystywałyby silnik renderujący przeglądarki.

Kolejna luka dotyczy tylko Windows Servera, w tym najnowszego 2012 R2. Jeśli ktoś znalazł upodobanie w trzymaniu usługi DNS na oprogramowaniu Microsoftu, to powinien szybko zainstalować krytyczny biuletyn MS15-127, pozwalający na zdalne uruchomienie na serwerze złośliwego kodu. Serwerowi jest wysyłana po prostu odpowiednio spreparowane żądanie rozwiązania adresu domenowego, wykorzystujące podatność typu use after free. Zaatakowany serwer uruchomi kod z uprawnieniami lokalnego użytkownika.

Dla domowych użytkowników Windowsa znacznie bardziej interesująco wygląda biuletyn MS15-128. Oczywiście krytyczny, a przy tym dotyczący ogromnie popularnego oprogramowania. Luka pozwalająca na zdalne uruchamianie kodu tkwiła w błędnej obsłudze fontów webowych przez systemową bibliotekę. Wystarczyło więc zwabić użytkownika na stronę zawierającą złośliwe fonty, by zaatakować w ten sposób zarówno wszystkie wspierane obecnie wersje Windows, jak i wszystkie wspierane wersje .NET Frameworka, biznesowe komunikatory Lync 2010, 2013 i Skype for Business 2016, a także Microsoft Office 2007 i 2010 i odtwarzaczu Silverlight.

Jeszcze nie macie dosyć? Biuletyn MS-129 dotyczy już tylko Silverlighta. Odpowiednio spreparowana aplikacja webowa mogła poprzez załataną właśnie lukę uruchomić zdalnie kod, a także naruszyć uprawnienia dostępu do odczytu i zapisu w lokalnym systemie plików. Problem dotyczył parsowania adresów internetowych i zachowania spójności pamięci przy randomizacji jej przestrzeni adresowej (ASLR). Niejako potwierdziła się przy tym wieloplatformowość Silverlighta – atak działał też na Maku.

Biuletyn MS15-128 nie wyczerpał wszystkich problemów z fontami. Otóż dla Windows 7 i Windows Servera 2008 dostaliśmy krytyczny biuletyn MS15-130, który rozwiązuje problem w interfejsach programowania Uniscribe, wykorzystywanych do zaawansowanej kontroli typograficznej. Błąd parsowania pozwalał napastnikowi nie tylko na uruchamianie własnego kodu, ale też na przeglądanie i modyfikowanie danych w systemie czy tworzenie nowych kont użytkownika z pełnymi uprawnieniami.

Niewiele jest podobnie potencjalnie groźnych formatów danych, co dokumenty Microsoft Office – chyba tylko PDF może z nimi konkurować. Krytyczny biuletyn MS15-131 dotyczy właśnie ich. Błędy w obsłudze obiektów w pamięci pozwalały na zdalne wykonanie kodu przemyconego w spreparowanych dokumentach Worda i Excela, zagrożone są tu nawet najnowsze wersje Office (w tym 2016), nie tylko na Windowsa, ale też na Maka. Nawet zwykły Microsoft Excel Viewer jest tu dobrą powierzchnią ataku. Wygląda na to, że ataki wykorzystujące tę lukę już trwają.

Niestety na tym nie koniec. Cztery kolejne, już niekrytyczne biuletyny dotyczą zagrożeń oznaczonych już tylko jako poważne (MS15-132, MS15-133, MS15-134, i MS15-135). Dotyczą przetwarzania danych na wejściu przez załadowaniem bibliotek systemowych, błędu w protokole Windows Pragmatic General Multicast, pozwalającego na podwyższenie uprawnień, niewłaściwego parsowania linków przez Windows Media Center (nie ma lekko, plik .mcl też może zawierać złośliwe oprogramowanie) oraz błędów w kernelu NT pozwalających na podwyższenie uprawnień i ataki DoS. Niestety wiadomo już, że MS-135 jest aktywnie wykorzystywane w atakach.

Wspomnieć należy też o poradzie 3123040, według której doszło do niechcącego ujawnienia kluczy prywatnych dla certyfikatu dla domeny *.xboxlive.com. Mogły być one wykorzystane do ataków typu man-in-the-middle. Certyfikat został już unieważniony, firma z Redmond aktualizuje listę zaufanych certyfikatów we wszystkich systemach z rodziny Windows, by zlikwidować zagrożenie.

Nie ma co się jednak specjalnie obrażać na Microsoft. Chwilę wcześniej swoje zestawy łatek dla Flash Playera wydało Adobe. Łatają one niebagatelne 75 luk pozwalających na zdalne wykonanie kodu i trzy pozwalające na obejście zabezpieczeń systemowych. Widać tu, że Flash jest prawdziwie multiplatformowy. Lukami cieszyć się mogli nie tylko użytkownicy „okienek”, ale też Maka, Linuksa i Androida, obecne były nie tylko we Flashu, ale też w Adobe AIR i AIR SDK. Producent Flasha ma na swoje usprawiedliwienie chyba tylko to, że w przeciwieństwie do Microsoftu, nie opowiada, że w nieautoryzowanych kopiach jego oprogramowania kryje się złośliwe oprogramowanie. Po grudniowym cyklu łatek widać, że Windows, Flash i Java wciąż są zakałami cyberbezpieczeństwa, jednak to tylko wtyczki Flasha i Javy chce się przecież wysłać na emeryturę.
Za: sobreprogramy.pl]]> Znów za nami drugi wtorek miesiąca, znów Microsoft wydał swoje biuletyny bezpieczeństwa, mające ochronić maszyny z Windows przed najnowszymi zagrożeniami. Tym razem dostaliśmy ich tuzin, łącznie obejmujących 75 luk – i znów na pierwszym planie są problemy z przeglądarkami z Redmond. To jednak nie wszystko. Mówi się o przykrej wpadce firmowego działu bezpieczeństwa, którego pracownicy zaoferowali hakerom fajny prezent, tj. klucze prywatne do certyfikatu SSL/TLS dla domeny xboxlive.com.

Przyjrzyjmy się jednak tym łatkom po kolei. MS15-124 to biuletyn zbiorczych łatek, eliminujących liczne, krytyczne luki w Internet Explorerze w wersjach od 7 do 11, pozwalające na zdalne uruchomienie wrogiego kodu z uprawnieniami zalogowanego użytkownika. Zbyt wiele informacji nie ujawniono, wiemy jedynie, że chodziło o obsługę obiektów w pamięci przez IE i silnik VBScriptu, niewłaściwe zachowanie filtru XSS, błędy w przetwarzaniu typów treści i polityk międzydomenowych.

Co ciekawe, tym razem Microsoft Edge miało więcej luk niż Internet Explorer. Również krytyczny biuletyn MS15-125, oprócz łatek pokrywających się z tymi, które dostał IE, eliminuje też podatność pozwalającą na obejście randomizacji przestrzeni adresowej (ASLR), błędy w parsowaniu odpowiedzi HTTP oraz dodaje walidację uprawnień do przeglądarki.

Nowe luki znaleziono też w silniku VBScriptu – ale dotyczą one już tylko Visty i Windows Servera 2008. Biuletyn MS15-126 mówi o możliwości zdalnego wykonania kodu przez spreparowane witryny, exploitujące podatności Internet Explorera, albo osadzaniu kontrolek ActiveX w dokumentach Microsoft Office, które wykorzystywałyby silnik renderujący przeglądarki.

Kolejna luka dotyczy tylko Windows Servera, w tym najnowszego 2012 R2. Jeśli ktoś znalazł upodobanie w trzymaniu usługi DNS na oprogramowaniu Microsoftu, to powinien szybko zainstalować krytyczny biuletyn MS15-127, pozwalający na zdalne uruchomienie na serwerze złośliwego kodu. Serwerowi jest wysyłana po prostu odpowiednio spreparowane żądanie rozwiązania adresu domenowego, wykorzystujące podatność typu use after free. Zaatakowany serwer uruchomi kod z uprawnieniami lokalnego użytkownika.

Dla domowych użytkowników Windowsa znacznie bardziej interesująco wygląda biuletyn MS15-128. Oczywiście krytyczny, a przy tym dotyczący ogromnie popularnego oprogramowania. Luka pozwalająca na zdalne uruchamianie kodu tkwiła w błędnej obsłudze fontów webowych przez systemową bibliotekę. Wystarczyło więc zwabić użytkownika na stronę zawierającą złośliwe fonty, by zaatakować w ten sposób zarówno wszystkie wspierane obecnie wersje Windows, jak i wszystkie wspierane wersje .NET Frameworka, biznesowe komunikatory Lync 2010, 2013 i Skype for Business 2016, a także Microsoft Office 2007 i 2010 i odtwarzaczu Silverlight.

Jeszcze nie macie dosyć? Biuletyn MS-129 dotyczy już tylko Silverlighta. Odpowiednio spreparowana aplikacja webowa mogła poprzez załataną właśnie lukę uruchomić zdalnie kod, a także naruszyć uprawnienia dostępu do odczytu i zapisu w lokalnym systemie plików. Problem dotyczył parsowania adresów internetowych i zachowania spójności pamięci przy randomizacji jej przestrzeni adresowej (ASLR). Niejako potwierdziła się przy tym wieloplatformowość Silverlighta – atak działał też na Maku.

Biuletyn MS15-128 nie wyczerpał wszystkich problemów z fontami. Otóż dla Windows 7 i Windows Servera 2008 dostaliśmy krytyczny biuletyn MS15-130, który rozwiązuje problem w interfejsach programowania Uniscribe, wykorzystywanych do zaawansowanej kontroli typograficznej. Błąd parsowania pozwalał napastnikowi nie tylko na uruchamianie własnego kodu, ale też na przeglądanie i modyfikowanie danych w systemie czy tworzenie nowych kont użytkownika z pełnymi uprawnieniami.

Niewiele jest podobnie potencjalnie groźnych formatów danych, co dokumenty Microsoft Office – chyba tylko PDF może z nimi konkurować. Krytyczny biuletyn MS15-131 dotyczy właśnie ich. Błędy w obsłudze obiektów w pamięci pozwalały na zdalne wykonanie kodu przemyconego w spreparowanych dokumentach Worda i Excela, zagrożone są tu nawet najnowsze wersje Office (w tym 2016), nie tylko na Windowsa, ale też na Maka. Nawet zwykły Microsoft Excel Viewer jest tu dobrą powierzchnią ataku. Wygląda na to, że ataki wykorzystujące tę lukę już trwają.

Niestety na tym nie koniec. Cztery kolejne, już niekrytyczne biuletyny dotyczą zagrożeń oznaczonych już tylko jako poważne (MS15-132, MS15-133, MS15-134, i MS15-135). Dotyczą przetwarzania danych na wejściu przez załadowaniem bibliotek systemowych, błędu w protokole Windows Pragmatic General Multicast, pozwalającego na podwyższenie uprawnień, niewłaściwego parsowania linków przez Windows Media Center (nie ma lekko, plik .mcl też może zawierać złośliwe oprogramowanie) oraz błędów w kernelu NT pozwalających na podwyższenie uprawnień i ataki DoS. Niestety wiadomo już, że MS-135 jest aktywnie wykorzystywane w atakach.

Wspomnieć należy też o poradzie 3123040, według której doszło do niechcącego ujawnienia kluczy prywatnych dla certyfikatu dla domeny *.xboxlive.com. Mogły być one wykorzystane do ataków typu man-in-the-middle. Certyfikat został już unieważniony, firma z Redmond aktualizuje listę zaufanych certyfikatów we wszystkich systemach z rodziny Windows, by zlikwidować zagrożenie.

Nie ma co się jednak specjalnie obrażać na Microsoft. Chwilę wcześniej swoje zestawy łatek dla Flash Playera wydało Adobe. Łatają one niebagatelne 75 luk pozwalających na zdalne wykonanie kodu i trzy pozwalające na obejście zabezpieczeń systemowych. Widać tu, że Flash jest prawdziwie multiplatformowy. Lukami cieszyć się mogli nie tylko użytkownicy „okienek”, ale też Maka, Linuksa i Androida, obecne były nie tylko we Flashu, ale też w Adobe AIR i AIR SDK. Producent Flasha ma na swoje usprawiedliwienie chyba tylko to, że w przeciwieństwie do Microsoftu, nie opowiada, że w nieautoryzowanych kopiach jego oprogramowania kryje się złośliwe oprogramowanie. Po grudniowym cyklu łatek widać, że Windows, Flash i Java wciąż są zakałami cyberbezpieczeństwa, jednak to tylko wtyczki Flasha i Javy chce się przecież wysłać na emeryturę.
Za: sobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 11/2015]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-11-2015-47899-t Thu, 12 Nov 2015 05:57:46 +0100 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-11-2015-47899-t Zapewne czekaliście z niecierpliwością na jesienną aktualizację Windows 10, dzięki której system ten (by zacytować klasyka) wreszcie zacznie się nadawać do poważnej pracy, ale póki co musicie obejść się smakiem. Zamiast spodziewanego Threshold 2, Microsoft wydał w terminie swoje listopadowe biuletyny bezpieczeństwa. Tym razem jest ich 12, z czego cztery oznaczono jako krytyczne zaś osiem jako ważne. Oto, co nas czeka, jeśli łatek nie zainstalujemy:

Pierwszy z biuletynów to MS15-112, zawierający zbiorczą aktualizację dla wszystkich wersji Internet Explorera (od IE7 po IE11). Usuwa ona podatności związane z błędną obsługą obiektów w pamięci i niewłaściwym wykorzystaniem zabezpieczenia ASLR, za sprawą których możliwe było zdalne uruchomienie kodu na komputerze ofiary, która odwiedziłaby stronę zawierającą złośliwy kod JavaScriptu.

Następny biuletyn to MS15-113, który przeznaczony jest dla przeglądarki Microsoft Edge – i najwyraźniej wiąże się z tą samą niedoróbką co MS15-112. Trudno, by było inaczej, może i Edge nie jest Explorerem, ale też nie jest całkiem nową przeglądarką, ze swoim przodkiem współdzieli niemało kodu.

W biuletynie MS15-114 rozwiązano problem z przeznaczonym do tworzenia notatek i zarządzania nimi programem Windows Journal. Okazało się, że po ze względu na błąd w parsowaniu plików z danymi programu (z rozszerzeniem .jnt), można spreparowaną notatką wymusić przepełnienie sterty i uruchomić dowolny kod z uprawnieniami zalogowanego użytkownika – w tym oczywiście administratora.

Ostatnim krytycznym biuletynem jest MS15-115, który pozwala na zdalne uruchomienie kodu, wykorzystując liczne błędy w jądrze Windows, związane z obsługą obiektów w pamięci i możliwością obejścia mechanizmu randomizacji przestrzeni adresowej, oraz błędów związanych z biblioteką Adobe Type Manager Library. Dzięki tym błędom można zaatakować wszystkich użytkowników, którzy odwiedzą strony internetowe zawierające osadzone fonty ze złośliwym kodem, lub otworzą wysłane im odpowiednio spreparowane dokumenty.

Poważne błędy pozwalające na uruchomienie złośliwego kodu znaleziono także w Microsoft Office (MS15-116), z kolei usterki w interfejsie programowania aplikacji dla kart sieciowych NDIS (MS15-117), framewerku .NET (MS15-118) oraz bibliotece Winsock (MS15-119) pozwalały na podwyższenie uprawnień już uruchomionych procesów. Z kolei usterki w implementacji protokołu IPSec (MS15-120) pozwalały na atak Denial of Service, zaś błąd (MS15-121) w Transport Layer Security pozwalał na ataki man-in-the-middle i podsłuch użytkownika.

Naprawiono też podatność w mechanizmie uwierzytelniania Kerberos (MS15-122), pozwalającą na odszyfrowanie dysków chronionych Bitlockerem oraz możliwość wydobycia poufnych informacji (MS15-123) z klientów Skype for Business oraz Microsoft Lync. Problemy znaleziono też w hiperwizorze Hyper-V – działająca w nim maszyna wirtualna mogła „zadławić” system operacyjny gospodarza.

Jak widać, i w tym miesiącu nie było lekko. Co prawda to nie są 33 błędy załatane w październiku, ale i tak zakres, jaki obejmują biuletyny listopadowe na tyle poważny, że najwyższy czas wziąć się za Windows Update i po raz kolejny połatać „okienka”.
Za: dobreprogramy.pl]]> Zapewne czekaliście z niecierpliwością na jesienną aktualizację Windows 10, dzięki której system ten (by zacytować klasyka) wreszcie zacznie się nadawać do poważnej pracy, ale póki co musicie obejść się smakiem. Zamiast spodziewanego Threshold 2, Microsoft wydał w terminie swoje listopadowe biuletyny bezpieczeństwa. Tym razem jest ich 12, z czego cztery oznaczono jako krytyczne zaś osiem jako ważne. Oto, co nas czeka, jeśli łatek nie zainstalujemy:

Pierwszy z biuletynów to MS15-112, zawierający zbiorczą aktualizację dla wszystkich wersji Internet Explorera (od IE7 po IE11). Usuwa ona podatności związane z błędną obsługą obiektów w pamięci i niewłaściwym wykorzystaniem zabezpieczenia ASLR, za sprawą których możliwe było zdalne uruchomienie kodu na komputerze ofiary, która odwiedziłaby stronę zawierającą złośliwy kod JavaScriptu.

Następny biuletyn to MS15-113, który przeznaczony jest dla przeglądarki Microsoft Edge – i najwyraźniej wiąże się z tą samą niedoróbką co MS15-112. Trudno, by było inaczej, może i Edge nie jest Explorerem, ale też nie jest całkiem nową przeglądarką, ze swoim przodkiem współdzieli niemało kodu.

W biuletynie MS15-114 rozwiązano problem z przeznaczonym do tworzenia notatek i zarządzania nimi programem Windows Journal. Okazało się, że po ze względu na błąd w parsowaniu plików z danymi programu (z rozszerzeniem .jnt), można spreparowaną notatką wymusić przepełnienie sterty i uruchomić dowolny kod z uprawnieniami zalogowanego użytkownika – w tym oczywiście administratora.

Ostatnim krytycznym biuletynem jest MS15-115, który pozwala na zdalne uruchomienie kodu, wykorzystując liczne błędy w jądrze Windows, związane z obsługą obiektów w pamięci i możliwością obejścia mechanizmu randomizacji przestrzeni adresowej, oraz błędów związanych z biblioteką Adobe Type Manager Library. Dzięki tym błędom można zaatakować wszystkich użytkowników, którzy odwiedzą strony internetowe zawierające osadzone fonty ze złośliwym kodem, lub otworzą wysłane im odpowiednio spreparowane dokumenty.

Poważne błędy pozwalające na uruchomienie złośliwego kodu znaleziono także w Microsoft Office (MS15-116), z kolei usterki w interfejsie programowania aplikacji dla kart sieciowych NDIS (MS15-117), framewerku .NET (MS15-118) oraz bibliotece Winsock (MS15-119) pozwalały na podwyższenie uprawnień już uruchomionych procesów. Z kolei usterki w implementacji protokołu IPSec (MS15-120) pozwalały na atak Denial of Service, zaś błąd (MS15-121) w Transport Layer Security pozwalał na ataki man-in-the-middle i podsłuch użytkownika.

Naprawiono też podatność w mechanizmie uwierzytelniania Kerberos (MS15-122), pozwalającą na odszyfrowanie dysków chronionych Bitlockerem oraz możliwość wydobycia poufnych informacji (MS15-123) z klientów Skype for Business oraz Microsoft Lync. Problemy znaleziono też w hiperwizorze Hyper-V – działająca w nim maszyna wirtualna mogła „zadławić” system operacyjny gospodarza.

Jak widać, i w tym miesiącu nie było lekko. Co prawda to nie są 33 błędy załatane w październiku, ale i tak zakres, jaki obejmują biuletyny listopadowe na tyle poważny, że najwyższy czas wziąć się za Windows Update i po raz kolejny połatać „okienka”.
Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 10/2015]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-10-2015-47572-t Thu, 15 Oct 2015 06:34:38 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-10-2015-47572-t Październikowe biuletyny bezpieczeństwa Microsoftu przypominają, że współczesne metodyki programowania wcale nie gwarantują tworzenia jakościowego kodu, a wręcz przeciwnie. Nawet kluczowe oprogramowanie systemowe może być pełne błędów. Tym razem załatano 33 luki, tkwiące w przeglądarkach Internet Explorer i Microsoft Edge, silniku VBScript/Jscript, powłoce Windows, jądrze Windows i pakiecie biurowym Office.

Biuletyn MS15-106 to zbiorcza poprawka dla wszystkich wersji Internet Explorera. Usuwa łącznie aż 14 usterek z tej przeglądarki, określonych jako poważne lub krytyczne, pozwalających na zdalny atak za pomocą odpowiednio spreparowanej strony internetowej, poprzez wywołanie błędów pamięci, elewację uprawnień, obejście zabezpieczeń ASLR i ujawnienie danych użytkownika.

Znacznie spokojniej jest w wypadku przeglądarki Edge. Biuletyn MS15-107 wspomina wyłącznie o dwóch zagrożeniach, związanych z możliwością wycieku zawartości pamięci oraz obejścia filtrów chroniących przed atakiem XSS.

Niezależnie od przeglądarek wspomniano o usterkach w silnikach skryptowych, używanych nie tylko przez przeglądarki. Cztery błędy w VBScripcie i Jscripcie dotyczą możliwości uszkodzenia pamięci, obejścia zabezpieczeń ASLR i wycieku danych. Opisano je dokładnie w biuletynie MS15-108.

Powłoka Windows (Windows Shell) też podatna była na zdalny atak, czy to przez odpowiednio spreparowaną stronę internetową, czy przez złośliwy pasek narzędziowy. Co ciekawe, dotyczy to wszystkich wersji systemu, od Visty po Windows 10 (nie wspominając już o Windows Serverze), co każe się zastanawiać, ile kodu na zasadzie kopiuj-wklej przechodzi między kolejnymi wydaniami „okienek”. Szczegóły dotyczące tego zagrożenia znajdziecie w biuletynie MS15-109.

Dziury w powłoce to jedno, ale dziury w jądrze? Biuletyn MS15-111 opisuje lukę pozwalającą obejść zabezpieczenia procesu TrustedBoot oraz wgrać (np. szpiegowskie) pliki uruchamialne i sterowniki na urządzenie ofiary. Na szczęście wymaga to fizycznego dostępu, na nieszczęście, dla instytucjonalnego napastnika uzyskanie fizycznego dostępu nie stanowi raczej problemu. Druga poważna luka dotyczy elewacji uprawnień i uruchomienia dowolnego kodu podczas tworzenia punktów montowania woluminów, trzy kolejne to luki dotyczące sposobu obsługi obiektów w pamięci, za pomocą których można uruchomić dowolny kod w trybie kernela, oddając mu tym samym totalną kontrolę nad systemem.

Na sam koniec biuletyn MS15-110, który wspomina o zagrożeniach dla użytkowników Excela i Sharepoint Severa. Tutaj otworzenie złośliwego arkusza kalkulacyjnego pozwolić może na wykonanie zawartego w nim kodu JavaScriptu, z uprawnieniami zalogowanego użytkownika. Microsoft wyjaśnia, że pozwala to na wykradzenie wrażliwych infromacji, w tym ciasteczek uwierzytelniania do serwisów internetowych.

Wiele z załatanych wraz z październikowymi biuletynami luk zostało już publicznie ujawnionych, należy się spodziewać więc wykorzystujących je ataków. Co za tym idzie, zalecamy skorzystanie z tego, co oferuje Windows Update. Wielu użytkowników na forach skarży się, że wraz z łatkami bezpieczeństwa dostaje jednak poprawki KB3035583 i KB3083710, które będą próbowały zaktualizować starsze wersje systemu do Windows 10. Jeśli więc zdecydujecie się aktualizację, uważajcie na to, co Microsoft próbuje Wam przy okazji dostarczyć.

Na koniec ciekawostka dla użytkowników pakietu Office na Makach. Redmond przygotowało też łatki dla Outlooka, PowerPointa, Worda, Excela i OneNote, dostępne przez Microsoft Download Center. Ich rozmiar budzi zdumienie – przykładowo „łatka” do Worda (wersja 15.15.0) ma zaledwie 871 MB, a łatka do OneNote 345 MB. O co chodzi? Czyżby Microsoft nie był w stanie dostarczyć na Maka łatki poprawiającej istniejącą instalację? Jako poprawki dostarczono bowiem kompletne instalatory, coś raczej niespotykanego w świecie Apple. Microsoftowi można poradzić jedynie, by zainteresował się dostępnym na wolnej licencji MIT frameworkiem Sparkle, który rozwiązuje wszystkie problemy z aktualizacją oprogramowania na Makach.
Za: dobreprogramy.pl]]> Październikowe biuletyny bezpieczeństwa Microsoftu przypominają, że współczesne metodyki programowania wcale nie gwarantują tworzenia jakościowego kodu, a wręcz przeciwnie. Nawet kluczowe oprogramowanie systemowe może być pełne błędów. Tym razem załatano 33 luki, tkwiące w przeglądarkach Internet Explorer i Microsoft Edge, silniku VBScript/Jscript, powłoce Windows, jądrze Windows i pakiecie biurowym Office.

Biuletyn MS15-106 to zbiorcza poprawka dla wszystkich wersji Internet Explorera. Usuwa łącznie aż 14 usterek z tej przeglądarki, określonych jako poważne lub krytyczne, pozwalających na zdalny atak za pomocą odpowiednio spreparowanej strony internetowej, poprzez wywołanie błędów pamięci, elewację uprawnień, obejście zabezpieczeń ASLR i ujawnienie danych użytkownika.

Znacznie spokojniej jest w wypadku przeglądarki Edge. Biuletyn MS15-107 wspomina wyłącznie o dwóch zagrożeniach, związanych z możliwością wycieku zawartości pamięci oraz obejścia filtrów chroniących przed atakiem XSS.

Niezależnie od przeglądarek wspomniano o usterkach w silnikach skryptowych, używanych nie tylko przez przeglądarki. Cztery błędy w VBScripcie i Jscripcie dotyczą możliwości uszkodzenia pamięci, obejścia zabezpieczeń ASLR i wycieku danych. Opisano je dokładnie w biuletynie MS15-108.

Powłoka Windows (Windows Shell) też podatna była na zdalny atak, czy to przez odpowiednio spreparowaną stronę internetową, czy przez złośliwy pasek narzędziowy. Co ciekawe, dotyczy to wszystkich wersji systemu, od Visty po Windows 10 (nie wspominając już o Windows Serverze), co każe się zastanawiać, ile kodu na zasadzie kopiuj-wklej przechodzi między kolejnymi wydaniami „okienek”. Szczegóły dotyczące tego zagrożenia znajdziecie w biuletynie MS15-109.

Dziury w powłoce to jedno, ale dziury w jądrze? Biuletyn MS15-111 opisuje lukę pozwalającą obejść zabezpieczenia procesu TrustedBoot oraz wgrać (np. szpiegowskie) pliki uruchamialne i sterowniki na urządzenie ofiary. Na szczęście wymaga to fizycznego dostępu, na nieszczęście, dla instytucjonalnego napastnika uzyskanie fizycznego dostępu nie stanowi raczej problemu. Druga poważna luka dotyczy elewacji uprawnień i uruchomienia dowolnego kodu podczas tworzenia punktów montowania woluminów, trzy kolejne to luki dotyczące sposobu obsługi obiektów w pamięci, za pomocą których można uruchomić dowolny kod w trybie kernela, oddając mu tym samym totalną kontrolę nad systemem.

Na sam koniec biuletyn MS15-110, który wspomina o zagrożeniach dla użytkowników Excela i Sharepoint Severa. Tutaj otworzenie złośliwego arkusza kalkulacyjnego pozwolić może na wykonanie zawartego w nim kodu JavaScriptu, z uprawnieniami zalogowanego użytkownika. Microsoft wyjaśnia, że pozwala to na wykradzenie wrażliwych infromacji, w tym ciasteczek uwierzytelniania do serwisów internetowych.

Wiele z załatanych wraz z październikowymi biuletynami luk zostało już publicznie ujawnionych, należy się spodziewać więc wykorzystujących je ataków. Co za tym idzie, zalecamy skorzystanie z tego, co oferuje Windows Update. Wielu użytkowników na forach skarży się, że wraz z łatkami bezpieczeństwa dostaje jednak poprawki KB3035583 i KB3083710, które będą próbowały zaktualizować starsze wersje systemu do Windows 10. Jeśli więc zdecydujecie się aktualizację, uważajcie na to, co Microsoft próbuje Wam przy okazji dostarczyć.

Na koniec ciekawostka dla użytkowników pakietu Office na Makach. Redmond przygotowało też łatki dla Outlooka, PowerPointa, Worda, Excela i OneNote, dostępne przez Microsoft Download Center. Ich rozmiar budzi zdumienie – przykładowo „łatka” do Worda (wersja 15.15.0) ma zaledwie 871 MB, a łatka do OneNote 345 MB. O co chodzi? Czyżby Microsoft nie był w stanie dostarczyć na Maka łatki poprawiającej istniejącą instalację? Jako poprawki dostarczono bowiem kompletne instalatory, coś raczej niespotykanego w świecie Apple. Microsoftowi można poradzić jedynie, by zainteresował się dostępnym na wolnej licencji MIT frameworkiem Sparkle, który rozwiązuje wszystkie problemy z aktualizacją oprogramowania na Makach.
Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 09/2015]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-09-2015-47172-t Thu, 10 Sep 2015 05:55:30 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-09-2015-47172-t Jak co miesiąc, także i we wrześniu Microsoft wydał aktualizacje zabezpieczeń dla swoich produktów. Tego typu paczki udostępniane w ramach Windows Update są kluczowe dla bezpieczeństwa systemu, zachęcamy więc do ich jak najszybszego zainstalowania. Istotne jest także to, że część z nich dotyczy najnowszego systemu Windows 10: nie jest on idealny, a i nie tylko o luki bezpieczeństwa tu chodzi.

W ramach comiesięcznych biuletynów wydano łącznie 12 paczek aktualizacyjnych. Aż pięć z nich określono jako krytyczne. Pierwsza, MS15-094 to zbiorcza paczka poprawek dla przeglądarki Internet Explorer. Tego typu łatkę znaleźć możemy w Windows Update w zasadzie każdego miesiąca, Microsoft nie rozdrabnia się bowiem na poszczególne błędy. Większość ze znalezionych błędów umożliwia nieautoryzowane wykonanie zdalnego kodu i zdobycie tych samych uprawnień, jakie posiada aktualnie zalogowany użytkownik. Paczka jest przeznaczona dla systemu Windows Vista z dodatkiem SP2 i nowszych.

Paczka MS15-095 jest przeznaczona jedynie dla Windows 10 i dotyczy nowej przeglądarki Microsoft Edge. Także i w tym przypadku mowa o możliwości wykonania zdalnego kodu i zdobycia uprawnień. Do wykorzystania znalezionych luk niezbędna jest interakcja użytkownika: musi on przy pomocy Edge odwiedzić spreparowaną stronę lub witrynę, która odwołuje się do takich treści (np. reklam podmienionych na szkodliwe dane). Kolejny biuletyn, MS15-097, dotyczy podobnego problemu związanego z systemem Windows, pakietem Office, a także oprogramowaniem Lync. Kilka z podatności odkrytych w komponencie graficznym umożliwia atak z wykorzystaniem osadzonych, spreparowanych fontów OpenType. Jedna z nich umożliwia ominięcie mechanizmu Kernel Address Space Layout Randomization (KASLR), w efekcie czego jest bardzo poważnym zagrożeniem.

Czwarta krytyczna paczka, MS15-098, dotyczy zintegrowanego w systemie programu Windows Journal przeznaczonego do tworzenia notatek odręcznych. W tym przypadku zagrożenie dotyczy nie tylko możliwości nieautoryzowanego wykonania zdalnego kodu, ale również przeprowadzenia ataku typu DoS: otworzenie odpowiednio spreparowanego pliku dziennika może doprowadzić do awarii systemu i utraty danych. Wystarczy przesłać go ofierze np. za pośrednictwem maila i zachęcić do otworzenia. Ostatnia paczka o numerze MS15-099 jest związana z podatnościami odnalezionymi w pakiecie Microsoft Office 2007 i nowszych jego wersjach. W celu przeprowadzenia ataku należy nakłonić użytkownika do uruchomienia spreparowanego pliku.

Niemal wszystkie zagrożenia z tych krytycznych biuletynów dotyczą możliwości wykonania zdalnego kodu i przejęcia uprawnień aktualnie zalogowanego użytkownika. Microsoft zaznacza, że czynnikiem obniżającym ryzyko jest praca na koncie standardowym – dzięki temu rozwiązaniu, nawet jeżeli dojdzie do ataku, cyberprzestępca nie przejmie kontroli nad całym systemem i nie będzie w stanie instalować aplikacji i wykradać wszystkich danych. Podkreślamy więc, że o ile to możliwe, powinniśmy pracować na kontach z ograniczonymi uprawnieniami, tak jak to jest przyjęte w konkurencyjnych systemach. Co prawda Windows przy instalacji automatycznie tworzy dla nas konto o wysokich uprawnieniach, ale nic nie stoi na przeszkodzie, aby to zmienić. Ograniczyć ryzyko ataku możemy także stosując aplikacje chroniące przed exploitami jak np. oferowany przez korporację EMET oraz Malwarebytes Anti-Exploit.

Pozostałe siedem biuletynów posiada niższy priorytet. Dotyczą one możliwości przeprowadzenia ataku DoS na usługę Active Directory, włamanie przez otworzenie spreparowanego pliku .mcl dla Windows Media Playera, a także nieautoryzowanego podnoszenia uprawnień w serwerach Skype dla Biznesu i Lync. Oprócz tego korporacja wydała zaktualizowane paczki udostępniane już w poprzednich miesiącach i poprawki niezwiązane z bezpieczeństwem: zwiększają one niezawodność systemu i usuwają błędy związane z instalowaniem poprawek bezpieczeństwa, poprawiają łączność przy użyciu Bluetooth, działanie telemetrii w Windows 7 i nowszych, a także sklepu wbudowanego w Windows 8.1.

W przypadku Windows 10 znajdziemy zbiorcza paczkę oznaczoną numerem KB3081455. Zawiera ona zarówno wymienione wcześniej poprawki bezpieczeństwa, jak i inne poprawki. Na ich temat korporacja jednak milczy, zgodnie z przyjętą przez siebie strategią nieinformowania klientów, co takiego mogą znaleźć w paczkach dostarczanych do systemu za pośrednictwem Windows Update. Mimo wszystko zachęcamy do jak najszybszej instalacji nowych biuletynów: łatają one błędy, które mogą zostać wykorzystane do przejęcia kontroli nad komputerem. Nasze dane są natomiast zbyt cenne, aby sobie na to pozwolić.
Za: dobreprogramy.pl]]> Jak co miesiąc, także i we wrześniu Microsoft wydał aktualizacje zabezpieczeń dla swoich produktów. Tego typu paczki udostępniane w ramach Windows Update są kluczowe dla bezpieczeństwa systemu, zachęcamy więc do ich jak najszybszego zainstalowania. Istotne jest także to, że część z nich dotyczy najnowszego systemu Windows 10: nie jest on idealny, a i nie tylko o luki bezpieczeństwa tu chodzi.

W ramach comiesięcznych biuletynów wydano łącznie 12 paczek aktualizacyjnych. Aż pięć z nich określono jako krytyczne. Pierwsza, MS15-094 to zbiorcza paczka poprawek dla przeglądarki Internet Explorer. Tego typu łatkę znaleźć możemy w Windows Update w zasadzie każdego miesiąca, Microsoft nie rozdrabnia się bowiem na poszczególne błędy. Większość ze znalezionych błędów umożliwia nieautoryzowane wykonanie zdalnego kodu i zdobycie tych samych uprawnień, jakie posiada aktualnie zalogowany użytkownik. Paczka jest przeznaczona dla systemu Windows Vista z dodatkiem SP2 i nowszych.

Paczka MS15-095 jest przeznaczona jedynie dla Windows 10 i dotyczy nowej przeglądarki Microsoft Edge. Także i w tym przypadku mowa o możliwości wykonania zdalnego kodu i zdobycia uprawnień. Do wykorzystania znalezionych luk niezbędna jest interakcja użytkownika: musi on przy pomocy Edge odwiedzić spreparowaną stronę lub witrynę, która odwołuje się do takich treści (np. reklam podmienionych na szkodliwe dane). Kolejny biuletyn, MS15-097, dotyczy podobnego problemu związanego z systemem Windows, pakietem Office, a także oprogramowaniem Lync. Kilka z podatności odkrytych w komponencie graficznym umożliwia atak z wykorzystaniem osadzonych, spreparowanych fontów OpenType. Jedna z nich umożliwia ominięcie mechanizmu Kernel Address Space Layout Randomization (KASLR), w efekcie czego jest bardzo poważnym zagrożeniem.

Czwarta krytyczna paczka, MS15-098, dotyczy zintegrowanego w systemie programu Windows Journal przeznaczonego do tworzenia notatek odręcznych. W tym przypadku zagrożenie dotyczy nie tylko możliwości nieautoryzowanego wykonania zdalnego kodu, ale również przeprowadzenia ataku typu DoS: otworzenie odpowiednio spreparowanego pliku dziennika może doprowadzić do awarii systemu i utraty danych. Wystarczy przesłać go ofierze np. za pośrednictwem maila i zachęcić do otworzenia. Ostatnia paczka o numerze MS15-099 jest związana z podatnościami odnalezionymi w pakiecie Microsoft Office 2007 i nowszych jego wersjach. W celu przeprowadzenia ataku należy nakłonić użytkownika do uruchomienia spreparowanego pliku.

Niemal wszystkie zagrożenia z tych krytycznych biuletynów dotyczą możliwości wykonania zdalnego kodu i przejęcia uprawnień aktualnie zalogowanego użytkownika. Microsoft zaznacza, że czynnikiem obniżającym ryzyko jest praca na koncie standardowym – dzięki temu rozwiązaniu, nawet jeżeli dojdzie do ataku, cyberprzestępca nie przejmie kontroli nad całym systemem i nie będzie w stanie instalować aplikacji i wykradać wszystkich danych. Podkreślamy więc, że o ile to możliwe, powinniśmy pracować na kontach z ograniczonymi uprawnieniami, tak jak to jest przyjęte w konkurencyjnych systemach. Co prawda Windows przy instalacji automatycznie tworzy dla nas konto o wysokich uprawnieniach, ale nic nie stoi na przeszkodzie, aby to zmienić. Ograniczyć ryzyko ataku możemy także stosując aplikacje chroniące przed exploitami jak np. oferowany przez korporację EMET oraz Malwarebytes Anti-Exploit.

Pozostałe siedem biuletynów posiada niższy priorytet. Dotyczą one możliwości przeprowadzenia ataku DoS na usługę Active Directory, włamanie przez otworzenie spreparowanego pliku .mcl dla Windows Media Playera, a także nieautoryzowanego podnoszenia uprawnień w serwerach Skype dla Biznesu i Lync. Oprócz tego korporacja wydała zaktualizowane paczki udostępniane już w poprzednich miesiącach i poprawki niezwiązane z bezpieczeństwem: zwiększają one niezawodność systemu i usuwają błędy związane z instalowaniem poprawek bezpieczeństwa, poprawiają łączność przy użyciu Bluetooth, działanie telemetrii w Windows 7 i nowszych, a także sklepu wbudowanego w Windows 8.1.

W przypadku Windows 10 znajdziemy zbiorcza paczkę oznaczoną numerem KB3081455. Zawiera ona zarówno wymienione wcześniej poprawki bezpieczeństwa, jak i inne poprawki. Na ich temat korporacja jednak milczy, zgodnie z przyjętą przez siebie strategią nieinformowania klientów, co takiego mogą znaleźć w paczkach dostarczanych do systemu za pośrednictwem Windows Update. Mimo wszystko zachęcamy do jak najszybszej instalacji nowych biuletynów: łatają one błędy, które mogą zostać wykorzystane do przejęcia kontroli nad komputerem. Nasze dane są natomiast zbyt cenne, aby sobie na to pozwolić.
Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 08/2015]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-08-2015-46762-t Wed, 12 Aug 2015 06:25:50 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-08-2015-46762-t Jak co miesiąc, także i w sierpniu firma Microsoft wydała swoje biuletyny zabezpieczeń. Tym razem wyglądają one jednak nieco inaczej, bo najnowsze aktualizacje otrzymał także system Windows 10 – mają one na celu zwiększenie jego niezawodności, poprawienie niektórych błędów i zwiększenie kompatybilności z aplikacjami i urządzeniami.

Jeżeli chodzi o łatki bezpieczeństwa, to w tym miesiącu firma wydała 14 takich biuletynów. Stosunkowo niewiele, bo tylko trzy z nich zostały oznaczone jako krytyczne i producent zaleca jak najszybszą aktualizację. Pierwsza z nich to MS15-079 – zbiorcza paczka zabezpieczeń dla przeglądarki Internet Explorer, czyli pakiet, który pojawia się każdego miesiąca i łata wiele podatności w przeglądarce korporacji. Jak zwykle w większości przypadków chodzi o możliwość nieautoryzowanego wykonania zdalnego kodu i tym samym uzyskanie uprawnień tego samego poziomu, co aktualnie zalogowany użytkownik.

To kolejny przykład na to, że o ile pozwala nam na to sytuacja, powinniśmy pracować na kontach z ograniczeniami, zamiast administracyjnych – znacznie zmniejsza to zarówno możliwości, jak i skutki ewentualnego ataku. Kolejna luka oznaczona numerem MS15-080 również dotyczy możliwości wykonania zdalnego kodu, tym razem jednak wektorem ataku może być sam system, środowisko Microsoft .NET, pakiet Office, Lync, a także Sliverlight – wystarczy odpowiednio spreparowany dokument, lub strona internetowa korzystająca z osadzonych fontów TrueType, lub OpenType. Wszystko za sprawą kilku podatności odkrytych w Microsoft Graphics Component. Zagrożenia tego samego typu odnaleziono w pakiecie Microsoft Office (2007 i nowsze) i załatano w paczce MS15-081.

Wszystkie pozostałe biuletyny mają mniejszy poziom istotności, niemniej również powinniśmy je zainstalować. Jeden z nich odpowiada za podatność w protokole RDP, kolejny jest związany z SMB – luka z nim związana pozwoliła już na zaatakowanie przeglądarki Microsoft Edge, zainstalowanie aktualizacji jest więc wysoce wskazane. Oprócz tego firma uniemożliwiła nieautoryzowanie podniesienie uprawnień po podłączeniu zainfekowanego urządzenia USB, możliwość wycieku danych z powodu podatności w WebDAV, a także dostarczyła kolejne poprawki dla Adobe Plash Playera zintegrowanego z dostępnymi w systemie przeglądarkami. Oczywiście nie są to wszystkie aktualizacje, które zostały wydane – znajdziemy wśród nich także poprawki związane ze zwiększeniem kompatybilności i niezawodności systemu Windows.

Większość z nich została przeznaczona dla Windows 8 i Windows 8.1, ale istotne aktualizacje otrzymał także Windows 10 (oznaczone numerami KB3081424 i KB3081427). Nic nie wskazuje na to, aby był to zestaw poprawek Service Release, który Microsoft zapowiadał na sierpień – te paczki są bowiem związane z bezpieczeństwem systemu, a także procedurą aktualizacji do najnowszej edycji. Jak na razie nie ma żadnych informacji o ewentualnych kłopotach związanych z ostatnimi aktualizacjami. Zachęcamy więc do ich zainstalowania, niezależnie od wersji Windows, z jakiej korzystacie, o ile oczywiście nadal otrzymuje ona poprawki.
Za: dobreprogramy.pl]]> Jak co miesiąc, także i w sierpniu firma Microsoft wydała swoje biuletyny zabezpieczeń. Tym razem wyglądają one jednak nieco inaczej, bo najnowsze aktualizacje otrzymał także system Windows 10 – mają one na celu zwiększenie jego niezawodności, poprawienie niektórych błędów i zwiększenie kompatybilności z aplikacjami i urządzeniami.

Jeżeli chodzi o łatki bezpieczeństwa, to w tym miesiącu firma wydała 14 takich biuletynów. Stosunkowo niewiele, bo tylko trzy z nich zostały oznaczone jako krytyczne i producent zaleca jak najszybszą aktualizację. Pierwsza z nich to MS15-079 – zbiorcza paczka zabezpieczeń dla przeglądarki Internet Explorer, czyli pakiet, który pojawia się każdego miesiąca i łata wiele podatności w przeglądarce korporacji. Jak zwykle w większości przypadków chodzi o możliwość nieautoryzowanego wykonania zdalnego kodu i tym samym uzyskanie uprawnień tego samego poziomu, co aktualnie zalogowany użytkownik.

To kolejny przykład na to, że o ile pozwala nam na to sytuacja, powinniśmy pracować na kontach z ograniczeniami, zamiast administracyjnych – znacznie zmniejsza to zarówno możliwości, jak i skutki ewentualnego ataku. Kolejna luka oznaczona numerem MS15-080 również dotyczy możliwości wykonania zdalnego kodu, tym razem jednak wektorem ataku może być sam system, środowisko Microsoft .NET, pakiet Office, Lync, a także Sliverlight – wystarczy odpowiednio spreparowany dokument, lub strona internetowa korzystająca z osadzonych fontów TrueType, lub OpenType. Wszystko za sprawą kilku podatności odkrytych w Microsoft Graphics Component. Zagrożenia tego samego typu odnaleziono w pakiecie Microsoft Office (2007 i nowsze) i załatano w paczce MS15-081.

Wszystkie pozostałe biuletyny mają mniejszy poziom istotności, niemniej również powinniśmy je zainstalować. Jeden z nich odpowiada za podatność w protokole RDP, kolejny jest związany z SMB – luka z nim związana pozwoliła już na zaatakowanie przeglądarki Microsoft Edge, zainstalowanie aktualizacji jest więc wysoce wskazane. Oprócz tego firma uniemożliwiła nieautoryzowanie podniesienie uprawnień po podłączeniu zainfekowanego urządzenia USB, możliwość wycieku danych z powodu podatności w WebDAV, a także dostarczyła kolejne poprawki dla Adobe Plash Playera zintegrowanego z dostępnymi w systemie przeglądarkami. Oczywiście nie są to wszystkie aktualizacje, które zostały wydane – znajdziemy wśród nich także poprawki związane ze zwiększeniem kompatybilności i niezawodności systemu Windows.

Większość z nich została przeznaczona dla Windows 8 i Windows 8.1, ale istotne aktualizacje otrzymał także Windows 10 (oznaczone numerami KB3081424 i KB3081427). Nic nie wskazuje na to, aby był to zestaw poprawek Service Release, który Microsoft zapowiadał na sierpień – te paczki są bowiem związane z bezpieczeństwem systemu, a także procedurą aktualizacji do najnowszej edycji. Jak na razie nie ma żadnych informacji o ewentualnych kłopotach związanych z ostatnimi aktualizacjami. Zachęcamy więc do ich zainstalowania, niezależnie od wersji Windows, z jakiej korzystacie, o ile oczywiście nadal otrzymuje ona poprawki.
Za: dobreprogramy.pl]]> <![CDATA[Poważna luka zagraża wszystkim edycjom Windows – Microsoft wydaje poprawkę]]> https://windows7forum.pl/powazna-luka-zagraza-wszystkim-edycjom-windows-%E2%80%93-microsoft-wydaje-poprawke-46407-t Tue, 21 Jul 2015 06:47:39 +0200 https://windows7forum.pl/powazna-luka-zagraza-wszystkim-edycjom-windows-%E2%80%93-microsoft-wydaje-poprawke-46407-t Choć w tym miesiącu Microsoft wydawał już biuletyny bezpieczeństwa i inne aktualizacje, w usłudze Windows Update pojawiła się właśnie kolejna, bardzo ważna paczka. Zalecamy jej natychmiastowe zainstalowanie, ponieważ ze względu na wykrytą dziurę, możliwe jest dokonanie ataku na praktycznie każdą obecnie dostępną wersję systemu Windows.

Paczka oznaczona jako MS15-078 została oznaczona jako krytyczna i ze względu na swoją wagę wydana poza standardowym cyklem wydawania poprawek. Dotyczy ona podatności w systemowym sterowników czcionek (Adobe Type Manager Library), która pozwala na wykonanie zdalnego, niebezpiecznego kodu. Ten może umożliwić napastnikowi przejęcie kontroli nad całym komputerem ofiary. Do udanego ataku wystarczy, aby ofiara otworzyła specjalnie spreparowany dokument lub stronę internetową z osadzoną czcionką OpenType.

Problem jest bardzo poważny, ponieważ Microsoft wykorzystuje swój sterownik czcionek w trybie jądra: jakiekolwiek szkodliwe dane mogą mieć więc wpływ na działanie całego systemu i naruszyć jego bezpieczeństwo. Jakie mogą być skutki ataku? Cyberprzestępca jest w stanie instalować dowolne oprogramowanie, uzyskiwać dostęp do naszych plików, wykradać cenne dane, czy też rejestrować co wprowadzamy za pomocą klawiatury. Możliwa jest więc kradzież całej tożsamości elektronicznej ofiary, a co gorsza, według Microsoftu lukę można wykorzystać z dużym powodzeniem.

Co ciekawe, za odkrycie błędu najprawdopodobniej odpowiada Polak – jest nim Mateusz Jurczyk należący do grupy Google Project Zero, jaka zajmuje się wyszukiwaniem podatności w najróżniejszym oprogramowaniu. Jego nazwisko widnieje obok Genwei Jiang z agencji FireEye, Inc. na liście podziękowań opublikowanej przez Microsoft. Badacze uzyskali niezbędne informacje z notatek, jakie wyciekły w ostatnim czasie z firmy Hacking Team. Jest to więc przykład kolejnej poważnej dziury w systemach Windows, która mogła być wykorzystywana przez tę firmę do tworzenia oprogramowania szpiegowskiego. Z drugiej strony brakuje dowodów na to, że była już ona aktywnie używana.

Podatność dotyczy wszystkich wersji systemu Windows, a wśród aktualnie wspieranych: Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012. Brak na liście Windows XP i Server 2003 nie oznacza, że są one bezpieczne – wprost przeciwnie, luka może być wykorzystana i w ich przypadku, użytkownicy nie mogą jednak liczyć na żadną pomoc i aktualizację, bo systemy te nie są już oficjalnie wspierane. Użytkownicy wersji z zapewnionym wsparciem i uruchomionymi aktualizacjami automatycznymi mogą spać spokojnie, niemniej to radzimy ręczne, jak najszybsze jej zainstalowanie.
Za: dobreprogramy.pl]]> Choć w tym miesiącu Microsoft wydawał już biuletyny bezpieczeństwa i inne aktualizacje, w usłudze Windows Update pojawiła się właśnie kolejna, bardzo ważna paczka. Zalecamy jej natychmiastowe zainstalowanie, ponieważ ze względu na wykrytą dziurę, możliwe jest dokonanie ataku na praktycznie każdą obecnie dostępną wersję systemu Windows.

Paczka oznaczona jako MS15-078 została oznaczona jako krytyczna i ze względu na swoją wagę wydana poza standardowym cyklem wydawania poprawek. Dotyczy ona podatności w systemowym sterowników czcionek (Adobe Type Manager Library), która pozwala na wykonanie zdalnego, niebezpiecznego kodu. Ten może umożliwić napastnikowi przejęcie kontroli nad całym komputerem ofiary. Do udanego ataku wystarczy, aby ofiara otworzyła specjalnie spreparowany dokument lub stronę internetową z osadzoną czcionką OpenType.

Problem jest bardzo poważny, ponieważ Microsoft wykorzystuje swój sterownik czcionek w trybie jądra: jakiekolwiek szkodliwe dane mogą mieć więc wpływ na działanie całego systemu i naruszyć jego bezpieczeństwo. Jakie mogą być skutki ataku? Cyberprzestępca jest w stanie instalować dowolne oprogramowanie, uzyskiwać dostęp do naszych plików, wykradać cenne dane, czy też rejestrować co wprowadzamy za pomocą klawiatury. Możliwa jest więc kradzież całej tożsamości elektronicznej ofiary, a co gorsza, według Microsoftu lukę można wykorzystać z dużym powodzeniem.

Co ciekawe, za odkrycie błędu najprawdopodobniej odpowiada Polak – jest nim Mateusz Jurczyk należący do grupy Google Project Zero, jaka zajmuje się wyszukiwaniem podatności w najróżniejszym oprogramowaniu. Jego nazwisko widnieje obok Genwei Jiang z agencji FireEye, Inc. na liście podziękowań opublikowanej przez Microsoft. Badacze uzyskali niezbędne informacje z notatek, jakie wyciekły w ostatnim czasie z firmy Hacking Team. Jest to więc przykład kolejnej poważnej dziury w systemach Windows, która mogła być wykorzystywana przez tę firmę do tworzenia oprogramowania szpiegowskiego. Z drugiej strony brakuje dowodów na to, że była już ona aktywnie używana.

Podatność dotyczy wszystkich wersji systemu Windows, a wśród aktualnie wspieranych: Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012. Brak na liście Windows XP i Server 2003 nie oznacza, że są one bezpieczne – wprost przeciwnie, luka może być wykorzystana i w ich przypadku, użytkownicy nie mogą jednak liczyć na żadną pomoc i aktualizację, bo systemy te nie są już oficjalnie wspierane. Użytkownicy wersji z zapewnionym wsparciem i uruchomionymi aktualizacjami automatycznymi mogą spać spokojnie, niemniej to radzimy ręczne, jak najszybsze jej zainstalowanie.
Za: dobreprogramy.pl]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 07/2015]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-07-2015-46343-t Thu, 16 Jul 2015 06:21:50 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-07-2015-46343-t Microsoft Security Bulletin Summary for July 2015, warto zerknąć też do tabelki sporządzonej przez Internet Storm Center: July 2015 Microsoft Patch Tuesday

Załatano m.in. poważny błąd w przeglądarce Internet Explorer 11 na Windows 7 oraz Windows 8.1 ujawniony przy okazji wycieku z Hacking Teamu.

Zakończyło się rozszerzone wsparcie techniczne systemu Windows Server 2003. Natomiast użytkownicy niewspieranego już Windowsa XP nie otrzymają więcej aktualizacji sygnatur i silnika skanującego darmowego antywirusa Microsoft Security Essentials - zob. dobreprogramy.pl, Dzisiaj koniec wsparcia Windows Server 2003, czas pożegnać kolejną ikonę ubiegłej dekady oraz Microsoft Security Essentials od dziś bez wsparcia dla Windows XP]]> Microsoft Security Bulletin Summary for July 2015, warto zerknąć też do tabelki sporządzonej przez Internet Storm Center: July 2015 Microsoft Patch Tuesday

Załatano m.in. poważny błąd w przeglądarce Internet Explorer 11 na Windows 7 oraz Windows 8.1 ujawniony przy okazji wycieku z Hacking Teamu.

Zakończyło się rozszerzone wsparcie techniczne systemu Windows Server 2003. Natomiast użytkownicy niewspieranego już Windowsa XP nie otrzymają więcej aktualizacji sygnatur i silnika skanującego darmowego antywirusa Microsoft Security Essentials - zob. dobreprogramy.pl, Dzisiaj koniec wsparcia Windows Server 2003, czas pożegnać kolejną ikonę ubiegłej dekady oraz Microsoft Security Essentials od dziś bez wsparcia dla Windows XP]]> <![CDATA[Microsoft wydał dodatkowe aktualizacje i poprawki dla systemów Windows]]> https://windows7forum.pl/microsoft-wydal-dodatkowe-aktualizacje-i-poprawki-dla-systemow-windows-45955-t Fri, 19 Jun 2015 06:43:35 +0200 https://windows7forum.pl/microsoft-wydal-dodatkowe-aktualizacje-i-poprawki-dla-systemow-windows-45955-t W ciągu ostatnich dwóch dni w usłudze Windows Update pojawiły się nowe, opcjonalne aktualizacje dla systemów Windows i innego oprogramowania tej firmy. Wygląd na to, że oprócz wtorkowych aktualizacji możemy teraz coraz częściej spotkać takie właśnie, dodatkowe paczki. Nie są one wymagane do instalacji, mogą jednak rozwiązać część problemów.

Korporacja łącznie wydała 26 aktualizacji, z czego jedna jest tak naprawdę aktualizacją biuletynu bezpieczeństwa MS15-057, związanego z luką odkrytą w odtwarzaczu Windows Media Player. Pozostałe to paczki niezwiązane z bezpieczeństwem systemowym, a rozwiązujące najróżniejsze problemy w nim odkryte. Są przeznaczone dla najróżniejszych edycji Windows: od Visty, poprzez 7, 8, 8.1 i RT 8.1, aż po odmiany serwerowe począwszy od Windows Server 2003. Firma wciąż walczy z przypadkami pojawiania się niebieskiego ekranu śmierci – jedna z aktualizacji zapobiega jego pojawianiu się przy korzystaniu z wadliwego sprzętu. Zaznaczmy, że BSOD i tak jest już zjawiskiem dosyć sporadycznym.

Istotna poprawka dotyczy wyboru funkcji systemu Windows z poziomu menu dodawania i usuwania programów. Użytkownik mógł tam wyłączyć dostawcę lokalizacji, ale odznaczenie pola nie zawsze przynosiło oczekiwany skutek tj. choć teoretycznie był wyłączony, nadal działał. Obecnie można usługę wyłączyć bez żadnych trudności. Poprawki wprowadzono również do systemowego eksploratora plików – nie powinniśmy już natknąć się na problem elementów znikających z bocznego okna nawigacyjnego, a także brak możliwości przesuwania pasków przewijania. Eksplorator nie powinien już ulegać awarii po otworzeniu menu historii plików w Windows 8.1. Microsoft poprawił ponadto wyświetlanie niektórych znaków w PDF API dostępnym w systemie, a także proces aktywacji systemu, który nie zawsze działał prawidłowo.]]> W ciągu ostatnich dwóch dni w usłudze Windows Update pojawiły się nowe, opcjonalne aktualizacje dla systemów Windows i innego oprogramowania tej firmy. Wygląd na to, że oprócz wtorkowych aktualizacji możemy teraz coraz częściej spotkać takie właśnie, dodatkowe paczki. Nie są one wymagane do instalacji, mogą jednak rozwiązać część problemów.

Korporacja łącznie wydała 26 aktualizacji, z czego jedna jest tak naprawdę aktualizacją biuletynu bezpieczeństwa MS15-057, związanego z luką odkrytą w odtwarzaczu Windows Media Player. Pozostałe to paczki niezwiązane z bezpieczeństwem systemowym, a rozwiązujące najróżniejsze problemy w nim odkryte. Są przeznaczone dla najróżniejszych edycji Windows: od Visty, poprzez 7, 8, 8.1 i RT 8.1, aż po odmiany serwerowe począwszy od Windows Server 2003. Firma wciąż walczy z przypadkami pojawiania się niebieskiego ekranu śmierci – jedna z aktualizacji zapobiega jego pojawianiu się przy korzystaniu z wadliwego sprzętu. Zaznaczmy, że BSOD i tak jest już zjawiskiem dosyć sporadycznym.

Istotna poprawka dotyczy wyboru funkcji systemu Windows z poziomu menu dodawania i usuwania programów. Użytkownik mógł tam wyłączyć dostawcę lokalizacji, ale odznaczenie pola nie zawsze przynosiło oczekiwany skutek tj. choć teoretycznie był wyłączony, nadal działał. Obecnie można usługę wyłączyć bez żadnych trudności. Poprawki wprowadzono również do systemowego eksploratora plików – nie powinniśmy już natknąć się na problem elementów znikających z bocznego okna nawigacyjnego, a także brak możliwości przesuwania pasków przewijania. Eksplorator nie powinien już ulegać awarii po otworzeniu menu historii plików w Windows 8.1. Microsoft poprawił ponadto wyświetlanie niektórych znaków w PDF API dostępnym w systemie, a także proces aktywacji systemu, który nie zawsze działał prawidłowo.]]> <![CDATA[Biuletyn bezpieczeństwa Microsoft 06/2015]]> https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-06-2015-45873-t Sun, 14 Jun 2015 06:12:24 +0200 https://windows7forum.pl/biuletyn-bezpieczenstwa-microsoft-06-2015-45873-t Jak co miesiąc, również w czerwcu Microsoft wydał nowe biuletyny bezpieczeństwa dla swojego oprogramowania. Tym razem nie jest ich zbyt wiele, aktualizacja nie powinna trwać więc zbyt długo. Niewielka liczba paczek nie umniejsza jednak ich znaczenia – te najnowsze są bardzo ważne i zdecydowanie zalecamy ich zainstalowanie.

W tym miesiącu Microsoft wydał łącznie osiem aktualizacji związanych z bezpieczeństwem swoich aplikacji, dwie z nich oznaczono jako krytyczne i powinny zostać zainstalowane tak szybko, jak to tylko możliwe. Pierwszą z nich jest MS15-056, zbiorcza paczka aktualizacji dla przeglądarki Internet Explorer. Jak w przypadku wielu biuletynów wydanych w przeszłości, także i ten odnosi się do możliwości wykonania w przeglądarce zdalnego kodu. Za sprawą odkrytych luk możliwe jest uzyskanie dostępu do historii przeglądanych stron, niedozwolone zwiększanie uprawnień, a także modyfikowanie obiektów przechowywanych w pamięci aplikacji. Korporacja załatała znalezione i zgłoszone przez inne firmy luki.

Druga krytyczna aktualizacja została oznaczona jako MS15-057 i jest związana z odtwarzaczem Windows Media Player. Również w tym przypadku chodzi o wykonanie zdalnego kodu – jeżeli uruchomilibyśmy w programie odpowiednio spreparowany plik multimedialny z niebezpiecznej strony, atakujący może całkowicie przejąć kontrolę nad naszym komputerem. Po raz kolejny Microsoft zaznaczył, że ryzyko ataku jest znacznie ograniczone w sytuacji, gdy pracujemy na koncie standardowym, zamiast konta administratora. Badania wszystkich zeszłorocznych aktualizacji wydanych przez tę firmę pokazują, że przejście na konto o ograniczonych uprawnieniach powoduje znaczne zwiększenie poziomu bezpieczeństwa naszego systemu.

Pozostałe sześć biuletynów o numerach od MS15-059 do MS15-064 oznaczono jako ważne. Aktualizacje te łatają luki w oprogramowaniu Microsoft Office i składnikach systemu Windows, które pozwalają na zdalne wykonywanie kodu, a także możliwość nieautoryzowanego podniesienia uprawnień użytkownika: uruchomienie odpowiedniego programu pozwala na przejęcie kontroli nad systemem, przeglądanie i zmienianie wszystkich plików, a także zakładanie nowych kont. W innym przypadku atakujący musi umieścić szkodliwy plik .dll na komputerze lub zasobach sieciowych i skłonić użytkownika do uruchomienia programu, który go załaduje. Dwie łatki są przeznaczone odpowiednio dla Active Directory i serwera Exchange, powinny więc zostać zainstalowane na systemach serwerowych, które udostępniają te usługi.

Oprócz tego w Windows Update pojawiły się inne aktualizacje, które nie są związane z bezpieczeństwem. Rozwiązują one problemy z kompatybilnością, wprowadzają poprawki do mechanizmu aktualizacyjnego, a także naprawiają błędy znalezione w systemie. Firma naprawiała m.in. zbyt długi czas logowania mający miejsce w niektórych sytuacjach, awarię sterownika xHCI przy wybudzenia ze stanu wstrzymania na komputerach z procesorami AMD Carrizo, a także czas uruchamiania systemu przy dodanych kilku językach. Wszystkie aktualizacje znajdziecie w usłudze Windows Update, zachęcamy do ich zainstalowania.
Za: dobreprogramy.pl]]> Jak co miesiąc, również w czerwcu Microsoft wydał nowe biuletyny bezpieczeństwa dla swojego oprogramowania. Tym razem nie jest ich zbyt wiele, aktualizacja nie powinna trwać więc zbyt długo. Niewielka liczba paczek nie umniejsza jednak ich znaczenia – te najnowsze są bardzo ważne i zdecydowanie zalecamy ich zainstalowanie.

W tym miesiącu Microsoft wydał łącznie osiem aktualizacji związanych z bezpieczeństwem swoich aplikacji, dwie z nich oznaczono jako krytyczne i powinny zostać zainstalowane tak szybko, jak to tylko możliwe. Pierwszą z nich jest MS15-056, zbiorcza paczka aktualizacji dla przeglądarki Internet Explorer. Jak w przypadku wielu biuletynów wydanych w przeszłości, także i ten odnosi się do możliwości wykonania w przeglądarce zdalnego kodu. Za sprawą odkrytych luk możliwe jest uzyskanie dostępu do historii przeglądanych stron, niedozwolone zwiększanie uprawnień, a także modyfikowanie obiektów przechowywanych w pamięci aplikacji. Korporacja załatała znalezione i zgłoszone przez inne firmy luki.

Druga krytyczna aktualizacja została oznaczona jako MS15-057 i jest związana z odtwarzaczem Windows Media Player. Również w tym przypadku chodzi o wykonanie zdalnego kodu – jeżeli uruchomilibyśmy w programie odpowiednio spreparowany plik multimedialny z niebezpiecznej strony, atakujący może całkowicie przejąć kontrolę nad naszym komputerem. Po raz kolejny Microsoft zaznaczył, że ryzyko ataku jest znacznie ograniczone w sytuacji, gdy pracujemy na koncie standardowym, zamiast konta administratora. Badania wszystkich zeszłorocznych aktualizacji wydanych przez tę firmę pokazują, że przejście na konto o ograniczonych uprawnieniach powoduje znaczne zwiększenie poziomu bezpieczeństwa naszego systemu.

Pozostałe sześć biuletynów o numerach od MS15-059 do MS15-064 oznaczono jako ważne. Aktualizacje te łatają luki w oprogramowaniu Microsoft Office i składnikach systemu Windows, które pozwalają na zdalne wykonywanie kodu, a także możliwość nieautoryzowanego podniesienia uprawnień użytkownika: uruchomienie odpowiedniego programu pozwala na przejęcie kontroli nad systemem, przeglądanie i zmienianie wszystkich plików, a także zakładanie nowych kont. W innym przypadku atakujący musi umieścić szkodliwy plik .dll na komputerze lub zasobach sieciowych i skłonić użytkownika do uruchomienia programu, który go załaduje. Dwie łatki są przeznaczone odpowiednio dla Active Directory i serwera Exchange, powinny więc zostać zainstalowane na systemach serwerowych, które udostępniają te usługi.

Oprócz tego w Windows Update pojawiły się inne aktualizacje, które nie są związane z bezpieczeństwem. Rozwiązują one problemy z kompatybilnością, wprowadzają poprawki do mechanizmu aktualizacyjnego, a także naprawiają błędy znalezione w systemie. Firma naprawiała m.in. zbyt długi czas logowania mający miejsce w niektórych sytuacjach, awarię sterownika xHCI przy wybudzenia ze stanu wstrzymania na komputerach z procesorami AMD Carrizo, a także czas uruchamiania systemu przy dodanych kilku językach. Wszystkie aktualizacje znajdziecie w usłudze Windows Update, zachęcamy do ich zainstalowania.
Za: dobreprogramy.pl]]>