Keďže rok 2016 takmer dosiahol svoj odchod, spoločnosť Microsoft vydala svoju poslednú aktualizáciu „Patch Tuesday“ pre tento rok. Táto aktualizácia má zďaleka najväčší počet aktualizácií zabezpečenia vydaných v jednej oprave. Obsahuje šesť kritických opráv a zvyšných šesť je označených ako dôležité. Pokrývalo 34 individuálnych nedostatkov, z ktorých všetky by mohli viesť k diaľkovému vykonaniu kódu. Takže sa pripravte na reštart. Je vhodné neodkladať nasadenie týchto opráv. Od troch z nich sa zameriavajú na zraniteľné miesta, ktoré boli zverejnené.

Kritické nedostatky sú vysvetlené v bulletinoch MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 a MS16-154. Hovorí sa, že prekonávajú náchylnosti vo Windows, Internet Explorer, Edge a Office. Presnejšie povedané, používatelia systému Windows 10 sa pri pripojení na internet stretli po poslednej vlne opráv vydanej spoločnosťou Microsoft.

Označené ako „kritické“:

MS16-144

Vydanie MS16-144 je určené na riešenie množstva chýb v prehliadači Internet Explorer. Opravuje tiež niekoľko závad, ktoré majú tendenciu spôsobiť únik informácií, a tie, ktoré by mohli viesť k porušeniu informácií v knižnici objektov hypertextového prepojenia Windows. Táto oprava bude zahrnutá v decembrovej mesačnej aktualizácii zabezpečenia pre systém Windows.

Tu sú zverejnené nedostatky

• CVE-2016-7282 - zraniteľnosť informácií prehľadávača Microsoft.
• CVE-2016-7281 - Chyba zabezpečenia prehliadača Microsoft obchádza.
• CVE-2016-7202 - anomálie poškodenia pamäte skriptovacieho motora.

Táto aktualizácia bola ohodnotená ako „Patch Now“, hlavne z dôvodu závažnosti problému, ktorý je určený na opravu. MS16-144 sa bude uplatňovať na všetky v súčasnosti podporované verzie IE.

MS16-145

MS16-145 opravuje niekoľko hlásených chýb v „novom a vylepšenom“ prehliadači spoločnosti Microsoft. Počet hlásených závad je prekvapivo dokonca viac ako v programe Internet Explorer, ktorý je cenzurovaný s 11 nedostatkami. MS16-145 rieši tieto kritické problémy.

• Päť obvyklých chýb skriptovacieho motora.
• Dve chyby týkajúce sa poškodenia pamäte.
• Bezpečnostný prvok obchádza.

MS16-146

MS16-146 má tendenciu opravovať kritické zraniteľné miesta pri spustení kódu v grafickej súčasti systému Microsoft Windows. Okrem toho opravuje chybu zverejnenia informácií o Windows GDI. Všetky tieto chyby zabezpečenia sa oznamujú súkromne. Oprava má nahradiť aktualizáciu grafických komponentov za posledný mesiac pre všetky systémy Windows 10 a Server 2016.

Je to tiež druhá oprava systému Windows Security Only alebo „súhrnná“ aktualizácia pre tento mesiac.

MS16-147

MS16-147 je prepustený len na riešenie pretrvávajúcej zodpovednosti v systéme Windows Uniscribe. O chybe sa hovorí, že započíta scenár Remote Code Execution. To znamená, že používatelia navštívia špeciálne vytvorený web alebo otvoria špeciálne vytvorený dokument. Je to určite niečo, čo nevidíme každý mesiac.

Pre tých, ktorí to nevedia, je komponent Uniscribe kolekciou API, ktoré sú určené na manipuláciu s typografiou v systéme Windows pre rôzne jazyky.

MS16-148

Vydanie MS16-148 je určené na riešenie slabých miest zraniteľnosti pri vzdialenom spustení kódu. V Microsoft Office pretrváva 16 súkromne zapísaných nedostatkov. Závažnosť závad môže byť určená skutočnosťou, že ak nebudú odložené, mohli by viesť k scenáru vzdialeného vykonávania kódu v cieľovom systéme. Tu je zoznam chýb:

• Štyri chyby v poškodení pamäte.
• Problém s načítaním na strane Office OLE DLL.
• Chyba, ktorá zverejňuje kritické informácie o GDI spolu s niekoľkými ďalšími.

MS16-154

Oprava MS16-154 je modul wrapper a napravuje kľúčové nedostatky vo vloženom prehrávači Adobe Flash Player. Toto je potenciálne najnebezpečnejší problém, ak sa neodošle. Hovorí sa, že napraví 17 problémov vrátane jednej chyby, ktorá v súčasnosti beží vo voľnej prírode. Microsoft prekvapivo navrhol zmierňujúci faktor pre tento problém. Je to úžasné, pretože spoločnosť to zvyčajne nikdy neurobí. Riešením je úplné odinštalovanie Flash.

Boli doručené správy týkajúce sa zraniteľnosti nultého dňa, ktoré dokázali ohroziť 32-bitové systémy Internet Explorer. Toto je kritická aktualizácia „Patch Now“.

Zaoberá sa:

• Štyri chyby pretečenia vyrovnávacej pamäte.
• Päť problémov s poškodením pamäte, ktoré by mohli potenciálne spôsobiť vzdialené vykonanie kódu.

Označené ako „dôležité“:

MS16-149

Oprava sa vydáva na vyriešenie dvoch problémov oznámených súkromnými používateľmi v systéme Windows.

• Chyba zverejnenia kryptografických informácií Windows, ktorá zahŕňa manipuláciu s objektmi v pamäti.
• Chyba, ktorá vedie k zvýšeniu oprávnenia v kryptografickom komponente Windows.

MS16-149 bude pridaná k zhrnutiu bezpečnosti za tento mesiac.

MS16-150

Toto je aktualizácia zabezpečenia pre jedinú zraniteľnosť, ohlásenú súkromne. MS16-150 sa týka pretrvávajúceho problému systému Windows Kernel, ktorý by mohol ohroziť oprávnenia používateľa. Je to hlavne spôsobené nesprávnym zaobchádzaním s objektmi v pamäti.

MS16-151

MS16-151 sa pokúša opraviť niekoľko menších chýb. Každý súkromne nahlásil a odhaduje sa, že spôsobí minimálne škody. Jeden súvisí s chybou EoP Win32k v ovládačoch režimu jadra systému Windows. Ďalším problémom, ktorý rieši, je grafická súčasť Windows, nesprávna manipulácia s objektmi v pamäti.

MS16-152

MS16-152 je bezpečnostná oprava pre jadro systému Windows a jeho cieľom je vyriešiť výhradnú zodpovednosť. Je to chyba zabezpečenia súkromne hlásená v jadre systému Windows, ktorá ovplyvňuje iba systémy Windows 10 a Server 2016. O chybe je známe, že spôsobuje zverejnenie informácií v najhoršom prípade. Táto oprava bude súčasťou mesačného zhrnutia systému Windows.

MS16-153

Táto oprava rieši jediný nedostatok informácií, ktorý je tiež uvedený v súkromí. Chyba pretrváva v podsystéme ovládača Windows, ktorý sa spúšťa aktualizáciou systému súborov Common Log File (CLFS).

MS16-155

MS16-155 opravuje zodpovednosť za.NET framework. Microsoft poznamenal, že chyba je zverejnená, ale nie je využívaná. Je potenciálne menej zraniteľným rizikom a má svoj vlastný aktualizačný balík. Preto bol ušetrený zo zahrnutia do súhrnných informácií o kvalite a zabezpečení systému Windows.

To je dosť, čo potrebujete vedieť o každej aktualizácii zabezpečenia tohtoročného posledného opravného utorka. Takže až do budúceho roka, Happy Patching.

Súvisiace príbehy, ktoré by ste si mali prečítať:

• Oprava zabezpečenia systému Windows 10. júna obsahuje obrovské opravy pre IE, Edge, Flash Player a Windows OS
• Kumulatívna aktualizácia systému Windows 10 Mobile opravuje niektoré známe problémy a zvyšuje celkový výkon
• Spoločnosť Google zverejnila chybu zabezpečenia zverejnenú spoločnosťou Google
• Windows 7 KB3205394 opravuje hlavné bezpečnostné chyby, nainštalujte ich teraz