Kiadós nyári frissítés érkezett a Microsofttól

A Microsoft tizenhat biztonsági közleményben számolt be a termékeit érintő sérülékenységekről. A cég fejlesztői összesen 34 biztonsági rést foltoztak be. Ezzel elmondható, hogy a június hibajavító kedd volt idén a második legmozgalmasabb. (A Microsoft áprilisban 17 közlemény keretében összesen 64 hibajavítással rukkolt elő.) Arra azért már a Microsoft múlt csütörtöki előzetes közleménye előtt is lehetett számítani, hogy júniusban több patch válik letölthetővé, hiszen az elmúlt hónapban a frissítés visszafogottabbra sikerült. A júniusi 16 közlemény közül kilenc került a kritikus veszélyességi kategóriába, míg a többi fontos besorolást kapott. A legnagyobb kockázatot hordozó sebezhetőségek kihasználásával a támadók teljes mértékben átvehetik az érintett rendszerek feletti irányítást.

A hibajavítások érintik a Windows operációs rendszereket, az Internet Explorert, az Office szoftvercsomagokhoz tartozó egyes alkalmazásokat, az SQL Servert, a .Net keretrendszert, a Silverlightot és az egyik Forefront kliensalkalmazást. Vagyis a mostani hibajavító kedd nemcsak a frissítések viszonylag magas számával emelkedett ki a többi közül, hanem azzal is, hogy meglehetősen sok Microsoft termék biztonságosabbá tételét tette lehetővé.

Windows javítások

A Microsoft júniusi biztonsági közleményei közül a legtöbb a Windows operációs rendszerekhez tartozik. A Windows-t érintő kilenc tájékoztató közül négy kapott kritikus veszélyességű besorolást. Mind a munkaállomásokhoz, mind a szerverekhez fejlesztett operációs rendszerek frissítésére szükség van. Fontos megjegyezni, hogy a hibajavítások telepítését követően számolni kell azzal, hogy a számítógépeket újra kell indítani. A Microsoft fejlesztői az alábbi összetevők esetében szüntettek meg sebezhetőségeket:
- SMB Server
- SMB Client
- Distributed File System (DFS)
- Hyper-V
- Windows Ancillary Function Driver (AFD).
- MHTML-kezelés
- kernelmódú driverek (OTF - OpenType Font feldolgozás)
- OLE Automation (WMF - Windows Metafile képkezelés)

Internet Explorer frissítés

A Microsoft az Internet Explorerhez két biztonsági közleményt adott ki. Ezek közül az egyik egy olyan kritikus veszélyességű, VML-kezelési sebezhetőségről számol be, amely egyes objektumok nem megfelelő inicializálására vagy törlésére vezethető vissza. A másik közlemény pedig tulajdonképpen egy hibajavító csomag, amely összesen tizenegy biztonsági rést foltoz be a böngészőn. A megszüntetésre kerülő rendellenességek között DOM, HTTP és Drag and Drop kezelési problémák valamint HTML-megjelenítési hibák is megtalálhatók. A sebezhetőségek speciálisan szerkesztett weboldalak megnyitásakor járulhatnak hozzá károkozásokhoz. A Microsoft hibajavításai az Internet Explorer 6-os, 7-es, 8-as és 9-es verzióit is érintik.

Excel foltok

Az Excel több hibajavítással gyarapodott. A Microsoft az MS11-045-ös közleményének keretében összesen nyolc sérülékenységet ismertetett, amelyek mindegyike a táblázatkezelőt érinti. A biztonsági rések kihasználásával a támadók olyan jogosultsági szintnek megfelelően tudnak nemkívánatos műveleteket végrehajtani, amilyen jogokkal a kártékony Excel állományt megnyitó felhasználó rendelkezik. A megszüntetett hibák többsége memóriakezelési és adatellenőrzési rendellenességekre vezethető vissza. A fontos veszélyességi besorolással ellátott közlemény az Office XP/2003/2007/2010, az Office for Mac 2004/2008/2011, illetve az Excel Viewer alkalmazásokhoz készült.

Microsoft XML Editor hiba

A Microsoft XML Editor sérülékenysége több szoftvert is érzékenyen érint. Ezért az InfoPath, az SQL Server valamint a Visual Studio sem úszta meg a frissítést. A sebezhetőség speciálisan szerkesztett XML-adatok, illetve állományok feldolgozásakor jelenthet kockázatot, és egyes esetekben tetszőleges kódok jogosulatlan futtatásához járulhat hozzá. A Microsoft a hibát fontos veszélyességi kategóriába sorolta.

Frissült a .Net Framework és a Silverlight

A .Net Frameworkben két, kritikus veszélyességűnek ítélt hiba orvoslására került sor. Ezek közül az egyik a Silverlight 4-es verziójában is megtalálható. A Microsoft szerint a sérülékenységeket memória- illetve objektumkezelési rendellenességek okozzák, amelyek kihasználásával a támadók teljes mértékben átvehetik az irányítást az érintett rendszerek felett. A biztonsági rések speciálisan szerkesztett XBAP (XAML Browser Application) vagy Silverlight alkalmazások révén okozhatnak károkat, és bizonyos esetben akár az IIS szerverek manipulálásához is hozzájárulhatnak. A hibák a .Net Framework 2.0-ás, 3.5-ös és 4.0-ás verzióiban is kimutathatók voltak.

Kritikus hiba a Forefront TMG 2010 Client alkalmazásban

A Forefront Threat Management Gateway (TMG) 2010 Client alkalmazásban a fejlesztők egy kritikus veszélyességű sebezhetőséget szüntettek meg. A hiba legrosszabb esetben tetszőleges kódok jogosulatlan futtatásához is hozzájárulhat (a kliens alkalmazás biztonsági kontextusának függvényében). A Microsoft tájékoztatója szerint a sérülékenységet a TMG Firewall Client Winsock providerben lehetett kimutatni.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le. A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weblapjain olvashatók.