A márciusi lazítást követően a Microsoft ismét egy masszív frissítési csomaggal jelentkezett. Az áprilisi patch kedden a cég közel tucatnyi frissítést adott ki 25 sebezhetőségre, köztük a fél éve nyitott SMB-sérülékenységre.

Minden Windows érintett

A  11 frissítésből 9 a Windowsokat érinti, 5 kritikus besorolást kapott, mivel távoli kód végrehajtását teszi lehetővé a Windows komponenseiben található biztonsági rések révén. A kritikus szintű frissítések kettő az összes jelenleg támogatott Windows-változatot érinti, kezdve a Windows 2000 SP4 kiadástól a Server 2008 R2-ig bezárólag.

Sajnálatos módon ismét egy olyan patch keddről van szó, amelyet a Server Core telepítések sem úsznak meg, két kritikus és egy moderált, jogosultságemelési rést foltozó frissítés miatt ezek újraindítása is szükséges. A márciusi pihenő miatt erre utoljára februárban, két hónapja volt példa utoljára, azt megelőzően pedig novemberben, vagyis három hónapig nem érintette kritikus biztonsági javítás a Server Core gépek rendelkezésre állását.

Jó hír azonban, hogy a Microsoft végre javítja az SMB-ben (Server Message Block) tavaly novemberben felfedezett hibát, amelyet kihasználva hálózati csomagokkal, azonosítás nélkül lefagyaszthatóak azok a Windows 7 és Server 2008 R2 gépek, amelyeken aktív ez a szolgáltatás (amely a fájl- és nyomtatómegosztásért felel), és a tűzfalak átengedik a 139-es és 445-ös portokon a LAN-forgalmat. Szintén foltozza a Microsoft azt a VBscript-sebezhetőséget, amely az Internet Explorert sújtja a Windows 2000, XP és Server 2003 rendszereken. A Microsoft előzetes közlönye a többi érintett szoftverről, mint az Exchange Server és Office, itt található.

Automatikus frissítésre vált az Adobe

Az Oracle és a Microsoft mellett szintén ugyanezen kedden jelentkezett biztonsági frissítéseivel az Adobe, az Adobe Reader és Acrobat szoftvereket frissíti a cég. Jelentős változás, hogy a cég egyúttal bekapcsolja az automatikus, felhasználói interakciót nem igénylő frissítési módot, így téve eredményesebbé a biztonsági frissítések terjesztését. Az elmúlt időszakban elharapóztak a preparált PDF-fájlokra épülő támadások.

Egy tavaly, a Google támogatásával publikált kutatás rámutatott, hogy erőteljes összefüggés van egy böngésző patcheltségi szintje, és a frissítéséhez szükséges felhasználói közreműködés foka közt. Minél inkább a felhasználótól függ egy frissítés sikeressége, annál rosszabb képet mutat a szoftverbázis, megfordítva pedig az eredmények azt mutatták, hogy a teljesen automatikusan, csendben lezajló frissítések érik el a legjobb patchelési arányt.

Az Oracle rendkívül gyorsan lereagálta a napokban publikált Java-sebezhetőséget, és soronkívüli frissítést adott ki a Java környezethez.

Az Update 20 nem részletezi ugyan, milyen biztonsági javításokat eszközöl, az időzítésből és a technikai megjegyzésekből nagyon úgy tűnik azonban, hogy a nyilvánosságra került rést foltozza be.

Múlt hét pénteken tette közzé egy Google-nél dolgozó biztonsági szakember, hogy olyan problémát fedezett fel a Java futtatási környezet (JRE) működésében, amelyet kihasználva a támadó tetszőleges kódot futtathat az áldozat Windows gépén. Mindehhez mindössze egy megfelelő JavaScriptekkel preparált weboldalra kell csalnia a felhasználót, amelyet ha feldolgoz az Internet Explorer vagy Firefox, akkor jogosulatlan kódot tölt be.

Mindezt nem egy programozási hibából, hanem a Java meggondolatlanul megengedő szoftvertelepítési politikájából fakadóan. Hogy megkönnyítse a szoftverfejlesztők dolgát, a Sun a Java 6 Update 10 óta terjeszti a JRE részeként a Deployment Toolkitet, amely böngésző bővítményként lehetővé teszi, hogy egy alkalmazás a weboldalból áttelepüljön a felhasználó gépére, és önálló alkalmazásként is képes legyen futni, ha kell, az éppen futó JRE verzióját is tetszőleges megválasztva. Ez olyan jól sikerült, hogy a Web Start rosszindulatúan is felparaméterezhető ezen keresztül, és a felhasználó jogosultsági szintjén bármilyen kód meghívható.

A hibát felfedező Tavis Ormandy jelentette a gondot az Oracle számára, az ottani csapat azonban közölte, hogy nem elég magas prioritású a gond, ezért nem ad ki soronkívüli javítást. Ormandy ezt követően döntött úgy, hogy nyilvánosságra hozza a rést, mivel az túlságosan könnyen kiaknázható, és rengeteg felhasználóra veszélyes. A HWSW-nek egy Windows XP rendszeren Firefox 3.6 és Internet Explorer 8 böngészőn is sikerült reprodukálni a hibát, igaz, Windows 7-en nem. Az AVG szerint napok alatt felépültek támadások a weben, amelyek ezt a hibát igyekeztek kihasználni.

Kétségtelenül a nyomás hatására az Oracle megjelentette az Update 20-at, amelynek kiadási jegyzéke szűkszavúan nyilatkozik a változásokról, és nem részletezi egyáltalán a biztonsági javításokat. A dokumentált komponensek, mint a Java Network Launch Protocol, Web Start vagy Deployment azonban mind arra utalnak, hogy az Oracle csendben ugyan, de igenis javította a jelentett rést. A HWSW-nek a frissítést telepítését követően nem sikerült produkálni a sebezhetőséget, ugyanakkor továbbra is érdemes lehet letiltani a Deployment Toolkitet.

(forrás: hwsw.hu)