Oprava úterý červenec 2019

Tento měsíc vidí společnost Microsoft opravu dvou chyb zabezpečení typu zero-day ve Windows, což může způsobit, že se nástroj BitLocker přepne do režimu obnovy, a obvyklý seznam důležitých a kritických nedostatků pro jiné produkty.

Windows 10 a Windows Server 2016 / 2019

Ze dvou nulových dnů v tomto měsíci ovlivní pouze jeden Windows 10. Lokální zvýšení zranitelnosti oprávnění (EOP) (CVE-2019-0880) v splwow64.exe by mohlo útočníkovi umožnit zvýšit oprávnění v ohroženém systému z nízké integrity na střední integritu. Microsoft říká, že tato chyba sama o sobě neumožňuje nikomu, kdo ji využívá, spouštět libovolný kód, ale ve spojení s jinou zranitelností, jako je vzdálené spuštění kódu (RCE) nebo jiná chyba EOP, by to mohlo být možné.

Existuje jedna kritická chyba RCE (CVE-2019-1102) opravená způsobem, jakým rozhraní Windows Graphics Device Interface (GDI) zpracovává objekty v paměti. Útočník by mohl nechat nainstalovat programy nebo změnit data s plnými uživatelskými právy. Uživatelé konfigurovaní s několika uživatelskými právy jsou tedy méně ohroženi než uživatelé s oprávněními správce. Útok se může projevit, pokud uživatel navštíví speciálně vytvořený web nebo otevře infikovaný soubor.

V rámci kumulativní aktualizace jsou opraveny důležité chyby EOP a 13 RCE 11. Společnost Microsoft navíc opravila kritické chyby RCE 11 v aplikaci Internet Explorer 11 a Microsoft Edge, včetně zranitelnosti poškození skriptovacího stroje a paměti prohlížeče. K dispozici je také aktualizace servisního zásobníku (SSU) Windows 10 (KB4509096), který je k dispozici také pro starší verze systému Windows. Řeší problém s aktualizací funkce Secure Boot, která může způsobit, že se BitLocker přepne do režimu zotavení kvůli stavu závodu.

Windows 7, 8 a Windows Server 2008 R2

Druhý nulový den v tomto měsíci (CVE-2019-1132) ovlivňuje Windows 7 Aktualizace Service Pack 1 a Windows Server 2008 a 2008 R2 a je hodnocena jako kritická. Je to chyba EOP v komponentě Win32k, která nedokáže správně zpracovat objekty v paměti. Pokud bude útočník úspěšně využit, mohl by spustit jaderný režim v režimu jádra a poté nainstalovat programy a měnit systémová data s plnými uživatelskými právy. Aby mohl útočník tuto chybu využít, musel by se přihlásit do systému a poté spustit program určený k zneužití této chyby zabezpečení.

Kromě opravených chyb IE11, které jsem zmínil výše, a nulového dne, Windows 7 SP1 obdrží jednu opravu důležitého RCE ve službě Remote Desktop Services (RDS) a opravy 6 pro důležité chyby EOP. Windows Server 2008 R2 získává stejné opravy, včetně důležitých RCE pro RDS a 13 hodnocených jako důležité pro zveřejňování informací.

Microsoft Exchange a SharePoint

Exchange Server 2010, 2013 a 2016 získávají důležitou opravu EOP (CVE-2019-1136), která by útočníkovi mohla umožnit získat stejná práva jako uživatel serveru Exchange a potenciálně jim umožnit provádět činnosti, jako je přístup k poštovním schránkám jiných uživatelů. Tuto chybu lze využít pouze v případě, že je povolena služba Exchange Web Services (EWS). Microsoft změnil způsob, jakým EWS zpracovává tokeny NTLM k vyřešení problému. Chyba zabezpečení spoofingu napříč weby (CVE-2019-1137) ovlivňuje Exchange 2013, 2016 a 2019; a konečně existuje chyba zabezpečení zpřístupnění informací, kde Exchange umožňuje vytváření entit se zobrazovanými názvy, které mají netisknutelné znaky, které ovlivňují všechny verze Exchange, Lync, Office, Office 365, Outlook a Skype for Business.

Všechny verze serveru SharePoint jsou opraveny kvůli chybě zabezpečení obtoku ověřování tokenů WCF / WIF SAML (CVE-2019-1006), která by mohla útočníkovi umožnit zosobnění jiného uživatele, což by mohlo vést ke zvýšení oprávnění. Je to hodnoceno jako důležité.

Microsoft Office

Office 365 ProPlus a Microsoft Office získávají opravy pro dva důležité RCE, které opravují, jak Excel zpracovává objekty v paměti. Tato chyba by vyžadovala, aby uživatel otevřel speciálně vytvořený soubor. Standardní uživatelé by byli méně ovlivněni než uživatelé s oprávněními správce.

Adobe

Tento měsíc se neobvykle nenacházejí žádné bezpečnostní záplaty pro Flash Player ani Acrobat Reader.

Příspěvek Oprava úterý červenec 2019 se objevil nejprve na Petri.

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.