Patch úterý - červen 2019

Tento měsíc Microsoft opraví čtyři nulové chyby Windows 10 a některé bezpečnostní klíče Bluetooth přestanou fungovat.

Čtyři nulové dny opravené

Tento měsíc společnost Microsoft vydala opravy pro čtyři chyby nulového dne ve Windows. BearLPE (CVE-2019-1069) je chyba v komponentě Plánovač úloh Windows 10 a Windows Server, který by útočníkovi umožnil zvýšit oprávnění. SandboxEscape (CVE-2019-1053) je chyba systému EOP (Windows Shell elevation of privilege), která nezdaří ověření zástupců složek a mohla by útočníkovi umožnit zvýšení oprávnění únikem z karantény. CVE-2019-1064 byl vydán s cílem zabránit obcházení předchozí chyby EOP (CVE-2019-0841) ve službě AppX Deployment Service. A konečně, InstallerBypass (CVE-2019-0973) je další chyba EOP ovlivňující Windows 10 a Windows 8, tentokrát ve službě Instalační služba Windows Installer, pokud se nepodaří správně zkontrolovat vstup, což by mohlo útočníkovi umožnit načtení nezabezpečené knihovny.

SandboxEscaper, bezpečnostní výzkumník, který odhaluje spoustu chyb ve Windows pozdě, zveřejnil také podrobnosti o pátém nultém dni nazvaném ByeBear, který ovlivňuje Windows 10 a Server 2019. Je to další způsob využití opravy AppX Deployment Service, kterou společnost Microsoft zavádí tento měsíc. Tak rychle, jak Microsoft tuto záplatu využije, najde SandboxEscaper jinou cestu. Pokud to Microsoft považuje za dost vážné, můžeme si všimnout, že tato nová chyba byla opravena před úterním příštího měsíce.

Windows 10, Windows Server 2016 a 2019

Až na čtyři nulové dny, Microsoft opravil chyby 11 pro vzdálené spuštění kódu (RCE), z nichž tři byly hodnoceny jako kritické. CVE-2019-0620 a CVE-2019-0722 jsou chyba Hyper-V, která by mohla útočníkovi umožnit spuštění libovolného kódu v hostitelském operačním systému spuštěním speciálně navrženého kódu v hostujícím OS. CVE-2019-0888 je chyba zabezpečení způsobená zpracováním objektů ActiveX Data Objects (ADO) s objekty v paměti a mohla by útočníkovi umožnit kompromitovat počítač přesvědčením uživatele, aby navštívil speciálně vytvořený web.

Existují také 9 RCE hodnocené jako kritické pro Microsoft Edge a Chakra Core, z nichž všechny jsou buď chybami poškození paměti, nebo problémy se zpracováním objektů v paměti. Některé z těchto chyb zabezpečení ovlivňují také aplikaci Internet Explorer.

Windows 7 SP1 a Windows Server 2008 R2

Windows 7 dostane záplaty pro dva kritické RCE. Jeden je pro CVE-2019-0888, chybu ActiveX Data Objects popsanou výše. Druhý (CVE-2019-0985) je chyba ve způsobu, jakým rozhraní Microsoft Speech API (SAPI) zpracovává vstup textu na řeč (TTS). Aby bylo možné tuto chybu využít, musí být uživatel přesvědčen o otevření speciálně vytvořeného dokumentu s obsahem TTS.

Oprava pro CVE-2019-1019 navíc opravuje problém, kdy by zpráva NETLOGON mohla získat klíč relace a podepsat zprávy.

Microsoft Office

Office 365 Pro Plus (Click-to-Run) získá opravu pro dva RCE. CVE-2019-1034 a CVE-2019-1035 jsou obě chyby v aplikaci Word, které nedokáží správně zpracovat objekty v paměti a mohly by útočníkovi umožnit provádění akcí v kontextu přihlášeného uživatele.

Všechny podporované verze serveru Exchange získají opravu, která zvyšuje úroveň ochrany do hloubky. Microsoft SharePoint Server 2010 SP2, SharePoint Enterprise Server 2013 SP1, 2016 a 2019 jsou opraveny kvůli chybě zabezpečení Word (CVE-2019-1034), která je nastíněna výše.

Bluetooth Low Energy Keys

Po instalaci aktualizací pro tento měsíc v Patch úterý již nebudete moci spárovat Feitian a Google Titan bezpečnostní klíče obsahující chybnou konfiguraci v Bluetooth párovacích protokolech, které by mohly útočníkovi umožnit interakci s klíčem. Další informace o tomto problému naleznete na webu společnosti Microsoft zde. Pokud máte postižený klíč Google, můžete jej použít strana požádat o bezplatnou výměnu.

Adobe

V neposlední řadě společnost Adobe opravila několik nedostatků RCE hodnocených jako kritické v aplikacích Flash Player, Acrobat a Acrobat Reader.

Příspěvek Patch úterý - červen 2019 se objevil nejprve na Petri.

Zanechat komentář