Patch-Tuesday

Primul Patch Tuesday din 2015 a adus opt update-uri de securitate pentru Windows, dintre care unul este marcat critic.

Ca urmare a unei schimbări de ultimă oră în politicile Microsoft de publicare a notificărilor de securitate mult criticată în comunitățile IT, un număr foarte mare de clienți Microsoft nu au primit săptămâna trecută avertismente despre probleme critice care trebuie rezolvate. Noua politică Microsoft spune că dacă aveți nevoie de asemenea notificări ca și companie trebuie să aveți un contract plătit de suport (Premier Support contract). Altfel doar organizațiile care se ocupă cu cercetări pe teme de securitate informatică mai primesc asemenea notificări. Detalii curând, într-un articol separat.
Patch-ul marcat Critical (MS15-002) rezolvă o vulnerabilitate de securitate în componenta server Telnet din Windows care permite unui atacator să execute cod de la distanță prin trimiterea unor pachete speciale prin portul Telnet. Din fericire, PC-urile cu Windows nu folosesc implicit Telnet. Aceasta este o componentă folosită de obicei de utilizatorii tehnici (administratori de sistem, etc.) pentru diferite sarcini de lucru. Versiunile Windows pe care Telnet este disponibil încep cu Windows Vista și componenta trebuie instalată manual din Control Panel via „Turn Windows features on or off”.
Două dintre update-urile din acest Patch Tuesday sunt listate ca răspunsuri la vulnerabilități „dezvăluite public” și nu „raportate în particular”. Cele două patch-uri rezolvă unele probleme grave legate de privilegii elevate necontrolat pe sisteme, semnalate public fără avertisment pentru Microsoft de Google Project Zero. Este vorba de vulnerabilități în Windows Application Compatibility cache (MS15-001) și în User Profile Service (MS15-003). (Google are un proiect numit Project Zero care face publice informații despre vulnerabilități care îi sunt semnalate în particular la 90 de zile de la primirea sesizării, fără a avertiza producătorii software cu produse afectate).
Alte probleme rezolvate prin celelalte patch-uri se referă la probleme în Network Location Awareness (MS15-005), Windows Error Reporting (MS15-006) și Network Policy Server (MS15-007), pe lângă alte componente și drivere Windows components (MS15-004, MS15-008).
Avem și update pentru patch-ul IE de luna trecută, care a cauzat crash-uri în Internet Explorer și alte probleme semnalate de unii utilizatori și un update Acest patch includea nouă soluții pentru probleme cu Adobe Flash și runtime-ul Air de la Adobe.
Bug-urile de la Adobe afectează utilizatorii Windows, OS X și Linux, și soluțiile oferite acum rezolvă șase probleme cu posibila executare arbitrară de cod de la distanță și probleme cu validarea greșită de fișiere ce ar aduce leak-uri de memorie ce pot fi folosite pentru atacuri. Aceleași probleme Flash sunt valabile și pentru Google Chrome și pentru alte browsere iar un patch va fio oferit de la Adobe Flash Player Download Center în perioada imediat următoare.

Back To Top
Search