A Windows Kerberos hibája: veszélyben a domainadminisztráció
A legismertebb most javított hibát a Windows Kerberos hálózati hitelesítési protokollban találták meg. Ez egy jogosultság-kiterjesztési sérülékenység, amely 7,2-es pontot kapott a tízes CVSS skálán, és a Microsoft szerint nem valószínű a kihasználása. Ennek oka, hogy a támadónak előbb hitelesített, speciális jogosultságokkal rendelkező fiókra lenne szüksége (például delegált Managed Service Account hozzáférésre). Ha azonban minden összeáll, egy sikeres támadó akár domainadminisztrátori jogokat is szerezhet.
Kritikus hibák: távoli kódfuttatás a GDI+ és a SharePoint révén
Kiemelést érdemel két, 9,8-as súlyosságú távoli kódfuttatási (RCE) hiba is. Az egyik egy puffertúlcsordulás a Windows Graphics Device Interface (GDI+) alrendszerben, amely lehetővé teszi, hogy a támadó jogosultság nélkül, hálózaton keresztül futtasson kódot. Ehhez nem szükséges semmiféle hozzáférés a kiszolgáló rendszerekhez, elég akár egy rosszindulatú weboldalra ellátogatni vagy egy speciális metafájlt tartalmazó dokumentumot letölteni.
A másik súlyos hiba a Windows Graphics Componentet érinti. Felhasználói beavatkozás nélkül is kihasználható: elég egy speciális JPEG képet elhelyezni egy Office-dokumentumban vagy harmadik féltől származó fájlokban, és a megnyitás pillanatában máris támadhatóvá válhat a rendszer. Az ilyen törékeny helyzetben némi reményt ad, hogy a Microsoft szerint kevéssé valószínű a széles körű kihasználásuk, ugyanakkor a sebezhetőségek nyilvánosságra kerülése miatt ez gyorsan változhat.
SharePoint: újabb kritikus RCE és javaslatok adminoknak
A SharePoint sem maradt ki, egy 8,8-as súlyosságú RCE hiba javítását is kiadták, amelyet bármely hitelesített (tehát bejelentkezett) felhasználó távolról kihasználhat. Noha első lépésként azonosítás szükséges, korábban már több, a hitelesítést kikerülő hibát is ismertek illetve javítottak a Microsoftnál. Ezért erősen ajánlott, hogy aki SharePointot használ, mindenképpen tartsa naprakészen a rendszerét, sőt, gondolja át, szükséges-e egyáltalán a nyilvános internetes elérhetőség.
Egyéb kritikus Microsoft-sebezhetőségek
Az augusztusi frissítés további kritikus hibákat is javított, köztük például a Microsoft Message Queuing, Office, Windows NTLM, Hyper-V és Azure Stack Hub rendszerek sérülékenységeit. Ezek között több információszivárgási, jogosultság-kiterjesztési és szintén RCE hibát is találunk, amelyek közül néhány különösen veszélyes lehet nagyvállalati környezetekben.
Adobe, SAP, Intel és Google: folytatódik a javítási dömping
Az Adobe 68 hibajavítást adott ki, ebből a Photoshop 8 kritikus RCE hibát, az Acrobat és a Reader összesen 6 jelentős hibát orvosolt. Az Adobe Illustrator, InDesign, FrameMaker, Dimension, Bridge, Animate és Substance 3D is komoly javításokat kapott.
Az SAP 15 új, valamint 4 korábbi hibajegyen javított, amelyek közül három rendkívül súlyos, 9,9-es értékelést kapott. Ezek között kódinjektálási sebezhetőség is van az S/4HANA és a Landscape Transformation platformokon.
Az Intel 66 sebezhetőséget foltozott be a hardver- és szoftverportfólióban, például BIOS- és LAN-illesztőkben, köztük privilégiumszint-emeléssel járó és információszivárgást vagy szolgáltatásmegtagadást is okozó hibákat.
A Google egy hónapos szünet után adott ki Android-frissítést, amellyel többek között két, aktívan kihasznált Qualcomm-sérülékenységet javított; a gyártó ezeket már júniusban jelezte, mivel szűk körben a támadók már éltek a lehetőséggel.
Mit lehet tenni? Frissíteni, frissíteni, frissíteni!
A mostani hibajavítási dömping alapján világos, hogy minden nagy szoftvergyártó küzd a súlyos, és egyre gyakrabban nyilvánosságra kerülő hibákkal. Érdemes tehát rendszeresen telepíteni a naprakész hibajavításokat, legyen szó Windowsról, Adobe-termékekről, SAP-ról, Intel-alkalmazásokról vagy az Androidról. A rendszeres és gyors frissítés maradt a legbiztosabb védekezés a támadások ellen.
