Kritikus és súlyos sérülékenységek
A javítások összesítéséből kiderül, hogy 13 kritikus kategóriába sorolt sebezhetőséget javítottak; ezek közül kilenc lehetővé tette a támadók számára, hogy távolról saját kódot futtassanak, ezen kívül három alkalmas volt érzékeny adatok kiszivárogtatására, egy további pedig jogosultságemelésre.
A több mint száz javított sérülékenység között 44 jogosultságemelési, 35 távoli kódfuttatási, 18 információszivárgási, 4 szolgáltatásmegtagadásos (DoS), valamint 9 megtévesztő (spoofing) támadásokra lehetőséget adó hiba szerepelt.
Nem elhanyagolható tényező, hogy ez a lista csak az augusztus 2025-ös Patch Tuesday keretében kiadott hibajavításokat tartalmazza, vagyis nem számolja bele a hónap elején foltozott Azure-, Mariner- és Microsoft Edge-problémákat.
A Kerberos nulladik napi hibája sem maradt ki
A hónap egyik legfontosabb eseménye, hogy a Microsoft most először adott ki javítást a Windows Kerberos rendszert érintő nulladik napi sérülékenységre. Ez a hiba lehetővé tette egy hitelesített támadó számára, hogy teljes tartományi adminisztrátori hozzáférést szerezzen a hálózatban, méghozzá úgy, hogy a Windows Kerberos rendszer egyik útvonalkezelési hibáját kihasználva jogosultságot emelt.
A támadó akkor juthatott hozzá a kulcsfontosságú dMSA attribútumok módosításához, ha ezekhez megfelelő hozzáféréssel rendelkezett. Ez magában foglalta a msds-groupMSAMembership-et (ami a dMSA használatához szükséges), illetve a msds-ManagedAccountPrecededByLink-et (amelyen keresztül megadható, mely felhasználó nevében járhat el a dMSA) írási jogosultságát.
Fontos részlet, hogy ezt a sebezhetőséget Yuval Gordon (Akamai) fedezte fel, és már májusban nyilvánosságra hozta a részleteit.
További iparági hibajavítások és figyelmeztetések
Ugyanakkor nem csak a Microsoft dolgozott augusztusban biztonsági rések elhárításán: számos más nagy szoftvercég is kénytelen volt kiadni hibajavításokat vagy figyelmeztetéseket. Ezek között volt például:
– 7-Zip, ahol egy elérési útvonal-manipuláció révén lehet távoli kódfuttatást (RCE – Remote Code Execution) elérni
– Adobe, amely az AEM Forms alkalmazás több nulladik napi problémájára reagált
– Cisco, amely a Webex és az Identity Services Engine termékeit foltozta
– Fortinet, amely számos termékében (FortiOS, FortiManager, FortiSandbox, FortiProxy) javított hibákat
– Google, amely az Android két aktívan kihasznált Qualcomm hibájára adott ki foltozást
– Proton Authenticator iOS-alkalmazás, amelynél kiderült, hogy nyílt szövegként tárolta a TOTP titkos kulcsokat
– SAP, amely több tucat, akár 9,9-es súlyosságú hibát javított
– Trend Micro, amely az Apex One termékben fedezett fel aktívan kihasználható távoli kódfuttatási (RCE) hibát
– WinRAR, amely a hónap végén egy távoli kódfuttatásra alkalmas sérülékenységet zárt le
Hibajavítások és érintett rendszerek
Az augusztusi frissítés a Microsoft számos termékét és komponensét érintette. Például az Azure File Sync, Azure Stack, Azure Virtual Machines, GitHub Copilot és Visual Studio egyaránt kaptak frissítéseket, amelyek közül több kritikus vagy fontos besorolású volt.
Az Office-alkalmazások (Word, Excel, PowerPoint, Visio, SharePoint) szintén érintettek voltak: több helyen sikerült kódfuttatási, illetve információszivárgási rést betömni. A Windows operációs rendszerben például frissült a Desktop Windows Manager, a DirectX, a Kernel Streaming WOW Thunk Service Driver, az NTFS, az SMB és még a Windows Subsystem for Linux (WSL2) is.
Kiemelendő, hogy a Windows NTLM, a Microsoft Exchange Server, a Windows Media és a Microsoft Teams is megkapta a maga javításait, mivel mindegyikükön keresztül esély nyílt volna kártékony kód futtatására vagy érzékeny adatok megszerzésére.
A javítások összefoglalása és tanulsága
Ennek fényében egyre világosabb, hogy a Microsoft ökoszisztéma komplexitása és a támadók egyre kifinomultabb módszerei miatt a rendszeres, azonnali hibajavítás ma már elkerülhetetlen. Az augusztusi frissítéshullám különlegessége a Windows Kerberos nulladik napi javítása, de a többi, súlyosnak minősített sebezhetőség is azt mutatja: egyre több eszköz, felhőszolgáltatás és alkalmazás válik célponttá.
Aki nem telepíti ezekre a rendszerekre a legújabb javításokat, saját és cége adatait veszélyezteti. Az MI által végzett automatikus kibervédelmi ellenőrzések is csak akkor eredményesek, ha a rendszer mindig naprakész. A jelenlegi helyzetben nem kérdés, hogy a hibajavításokra nemcsak érdemes, de muszáj is azonnal reagálni.
