Oprava úterý - prosinec 2019

Úterý na konci tohoto měsíce na konci tohoto měsíce je relativně lehké. Společnost Microsoft stanovila v systému SQL Server Reporting Services nulový den systému Windows a spoofingovou zranitelnost.

Windows a Windows Server

Celkově je tento měsíc pro Windows opraveno 15 slabých míst, včetně nultého dne (CVE-2019-1458) ve starších verzích Windows 10 (Windows 10 1507 a Windows 10 1607) Windows 7 Aktualizace Service Pack 1, Windows 8.1 a všechny verze systému Windows Server od roku 2008 Service Pack 2 do systému Windows Server 2016. Komponenta Win32k, která je považována za důležitou eskalaci chyby oprávnění (EoP), nedokáže správně zpracovat objekty v paměti.

Pokud je hacker zneužíván, může v režimu jádra spustit libovolný kód, který jim umožňuje instalovat programy, měnit data a vytvářet účty s plnými uživatelskými oprávněními. Microsoft uvedl, že hacker by se nejprve musel přihlásit do systému, aby mohl tuto chybu využít. Není jasné, jaké změny byly provedeny v novějších verzích Windows 10 to znamená, že nejsou touto chybou zabezpečení ovlivněni.

Tento měsíc existují dvě důležité chyby při provádění vzdáleného spuštění kódu, z nichž první ovlivňuje všechny podporované verze systému Windows. CVE-2019-1468 je chyba v knihovně písem Windows, která nesprávně zpracovává speciálně vytvořená vložená písma a mohla by útočníkovi umožnit instalaci programů, změnu dat a vytvoření nových účtů s plnými právy správce. Microsoft říká, že standardní uživatelské účty, tj. Účty bez administrátorských práv, mohou být touto chybou ovlivněny méně. Útočník by mohl chybu využít pomocí speciálně vytvořeného webu nebo pomocí infikovaného souboru.

Druhou je chyba Hyper-V (CVE-2019-1471), která by mohla útočníkovi umožnit spuštění aplikace v hostovaném virtuálním počítači a nutit hostitelský operační systém ke spuštění libovolného kódu. Tato chyba ovlivňuje Windows 10 1803 až 1909 64-bit a ekvivalentní verze serveru. Aplikace Internet Explorer 11 navíc získá opravu chyby při provádění vzdáleného kódu ve způsobu, jakým stroj VBScript zpracovává objekty v paměti. Útočník by mohl získat stejná práva jako přihlášený uživatel.

Zvědavost v systému Windows XP

Společnost Microsoft vydala oznámení o chybě zabezpečení (CVE-2019-1489) pro dlouhou nepodporovanou aktualizaci Windows XP SP3. V protokolu vzdálené plochy (RDP) je chyba odhalení informací, kde se nepodařilo správně zpracovat objekty v paměti. Útočník by jej mohl použít k získání informací, které by jim umožnily dále ohrozit systém. K dispozici není žádná oprava.

Microsoft Office

Tento měsíc je v Office 5 ProPlus opraveno 365 zranitelností, všechny jsou považovány za důležité. V aplikaci PowerPoint je jedna chyba vzdáleného spuštění kódu, kde se nepodařilo správně zpracovat objekty v paměti. Úspěšné využití by umožnilo hackerovi spouštět kód v kontextu přihlášeného uživatele; což znamená, že hacker by mohl převzít kontrolu nad postiženým systémem, pokud má přihlášený uživatel oprávnění správce. Aby bylo možné tuto chybu využít, musel by uživatel otevřít speciálně vytvořený soubor.

Microsoft SQL Server

Microsoft SQL Server 2017 a 2019 Reporting Services a Power BI Report Server, to vše je opraveno pro důležitou chybu zabezpečení, kdy skriptování mezi servery (XSS) nedokáže řádně dezinfikovat požadavky na postižené servery SSRS. Útočník by mohl spouštět skripty v kontextu cílového uživatele a umožnit jim číst data, která útočník nemá oprávnění vidět, spouštět kód a používat identitu účtu k provádění akcí jménem uživatele, jako je změna oprávnění a mazání obsahu .

Software Adobe

Tento měsíc není k dispozici žádná oprava zabezpečení pro Flash Player, přestože společnost Adobe vydala aktualizaci bez zabezpečení. Acrobat a Acrobat Reader však získají aktualizaci, která opravuje 20 plus chyby v softwaru.

To je do roku 2020!

Příspěvek Oprava úterý - prosinec 2019 se objevil nejprve na Petri.

Zanechat komentář