Lubimy poprawki dla systemu firmy Microsoft. W tamtym roku trochę tego było, ale dzięki temu Windows 10 wygląda naprawdę interesująco na tle swoich kolegów. Dużo dyskusji wzbudziła w tamtym roku poprawka dotycząca sprawdzania danych telemetrycznych. Ciekawe, jak będzie w tym roku.
Windows zaczął rok od kilku kolejnych poprawek. Nie będę narzekał na ich ilość. Ważne, że w ogóle je łatają. Załatanych zostało dwadzieścia pięć dziur. Microsoft utrzymuje, że utrzymuje, że nie zostały jeszcze wyexploitowane. Prawda jest taka, że u osób, u których nie zagościła jeszcze nowa aktualizacja, niedogodności te mogą posłużyć do ataków i to już niedługo. Dlatego Microsoft zachęca do szybkiego aktualizowania się. A co z samymi łatkami? Zacznijmy może od najciekawszych, bo nie mogę się doczekać, aby powiedzieć Wam, jakie błędy naprawiają.
MS16-001 i MS16-002
To oczywiście biuletyny z poprawkami dla ulubionych aplikacji Microsoftu. Zastanawiacie się, o kogo chodzi. To przecież pytanie retoryczne. Oczywiście, że o Internet Explorer i przeglądarkę Microsoft Edge. Jest to o tyle dziwne, że w reklamówkach przed premierą Windows 10 Edge miał być taki wspaniały i konkurencyjny, dla reszty przeglądarek. Jak widać, nie zawsze marzenia się spełniają. Jeżeli jednak chodzi o IE to już zdążyłem się przyzwyczaić, co w trawie piszczy i unikam go od dobrych kilkunastu lat, jak ognia. Może wróćmy do poprawek. Ta poprawka, która przeznaczona jest dla IE najprawdopodobniej jest ostatnią poprawką dla tej aplikacji. Przede wszystkim dotyczy problemów z obsługą obiektów w pamięci przez silnik JavaScriptu. Ma na celu poprawienie też przestrzegania polityk cross-domain. Wykorzystanie tej dziury pozwala na zdalne uruchomienie złośliwego kodu. Niestety, w przypadku Edge problemy były analogiczne, tylko tutaj chodziło o silnik skryptowy Chakra, ale także możliwe było uruchomienie złośliwego kodu.
MS16-003
Tak samo, jak w przypadku Edge i Internet Explorer było z silnikami systemowymi VBScriptu i JScriptu. Rozwiązano je przy okazji MS16-003.
MS16-004
Jest to czwarty biuletyn. Mało kto się spodziewa, czego może dotyczyć. Jest on poświęcony poprawkom do Microsoft Office. Poprawiane wersji to wszystkie od 2007 do 2016. Office ma na swoim koncie błędy w implementacji randomizacji przestrzeni adresowej oraz w obsłudze obiektów w pamięci i przestrzeganiu ustawień polityk kontroli dostępu. Pozwoliły one na zdalne uruchomienie złośliwego kodu z uprawnieniami zalogowanego użytkownika. Poprzez taką akcję można osadzić w pliku dokumentu tego pakietu biurowego złośliwy kod. Niestety, zagrożeni są także użytkownicy używający Office na Macach.
MS16-005
W tym biuletynie mamy dwie poprawki. Jedna z nich dotyczy uruchomienia złośliwego kodu w komputerze ofiary. Dzieje się tak, gdy atakowany odwiedzi spreparowaną stronę WWW. Druga zaś traktuje o eskalacji uprawnień takiego procesu. Błąd szczególnie ważny dla użytkowników Windows Vista i Windows 7. Jeżeli chodzi o inne wersje systemów od Microsoft, to zagrożenie jest o wiele niższe. Dojść może jedynie do ujawnienia wrażliwych danych. Kto zawinił? Tym razem zawiniła biblioteka GDI. Jest ona odpowiedzialna za przedstawienie obiektów graficznych i dostarczenie ich na urządzenia wyjściowe.
MS16-006
Jest to jeszcze jeden błąd, który dotyczy nie tylko Windows. Dokładnie to chodzi o poprawkę dla Silverlight. Biblioteka ta jest nie tylko na Windows, ale też na OSX. Atakujący tworzy swoje WWW z treściami Silverlight i może z niej uruchomić złośliwy kod. Dotyczy to możliwości podmiany nagłówków obiektów przetwarzanych nagłówkami dostarczonymi przez napastnika.
MS16-007
Jest to zdecydowanie najciekawszy biuletyn. Łata on łącznie sześć dziur w systemach Windows. Należą do nich: walidacja danych przed załadowaniem bibliotek DLL, uwierzytelnianie formularzy przez DirectShow oraz (i tu chyba najlepsze) problem zdalnego logowana do kont bez haseł. Nie jest to dowcip na prima aprilis, bo do kwietnia mamy jeszcze daleko. Chodzi o narzędzie RDP w systemie Windows 10. Ten bajer pozwalał na logowanie do profilu, które nie mają ustawionego hasła. W normalnych warunkach taka akcja nie jest możliwa, ponieważ RDP dla profili bez haseł jest po prostu zablokowane. Niestety, w przypadku systemu Windows 10 okazało się inaczej. Na szczęście łatka już jest.
MS16-008
Jest to chyba warta uwagi poprawka wśród wszystkich styczniowych biuletynów. Błąd ten polega na możliwości wykorzystania punktów montowania systemu plików do eskalacji uprawnień. Pozwala to napastnikowi uruchomić swój kod z uprawnieniami administratora.
MS16-009
Taki numerek także powinien zagościć na liście biuletynów, ale tak się nie stanie. Okazuje się, że w ostatniej chwili został wycofany.
MS16-010
Poprawki MS16-010 nie zostały wycofane. Biuletyn naprawia luki w serwerze poczty Exchange. Chodzi o wersje 2013 i 2016. Aplikacje niewłaściwie obsługiwały żądania webowe. Poprzez takie działanie pozwalały na kradzież danych poufnych, a także na ataki skryptowe.
Uwagi
Łatki łatkami, ale nie każde są zadowalające. Gdzieś pomiędzy poprawkami schowała się łatka, która dwa razy dziennie resetuje w rejestrze ustawienia jednej z flag. Chodzi o flagę:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ WindowsUpdate\OSUpgrade\AllowOSUpgrade].
Jej wartość po resecie ustawiana jest na 1. Sprawia to, że niektóre programy używane do zablokowania nagabywań o aktualizacji do Windowsa 10, przestają być skuteczne. Należy do nich np.: GWX Control Panel. Nie udało mi się jej jeszcze złapać w moim systemie, na szczęście, albo i nie, bo w sumie to więcej nie mogę o niej napisać.