
Rekordszámú sérülékenység – ilyen még nem volt
A júliusi javítócsomagban a hibák típus szerinti eloszlása meglehetősen változatos: 254 jogosultságkiterjesztési, 17 biztonsági funkciómegkerülési, 145 távoli kódfuttatási, 102 információkiszivárogtatási, 35 szolgáltatásmegtagadási és 16 megtévesztési sérülékenység található. A felsorolás csak a Microsoft által aznap kiadott javításokat tartalmazza; a cég az ugyanebben a hónapban más termékeihez – például Mariner, Azure OpenAI, Synapse, Exchange Online vagy az androidos Edge – kiadott frissítéseket, illetve a Google által már javított 468 Chromium-alapú böngészőhibát nem számolta bele ebbe a körbe.
Az ilyen mértékű hibafeltárás hátterében részben már egy MI-vezérelt keresőrendszer áll, amelynek első eredményei most kerültek be a javítási hullámba. Ez a rendszer előzetesen azonosít számos sebezhetőséget, mielőtt a támadók a valóságban kihasználnák őket.
Bajban lévő nulla napos hibák: ami ezután jött, arra senki sem számított
A csomag részeként három „zero-day” sérülékenységet javítottak: kettőt már aktívan támadtak, egyet pedig nyilvánosan felfedtek. Az első, az Active Directory Federation Services (AD FS), komoly hiányosságot mutatott a jogosultságkezelésben, amely lehetővé tette, hogy egy támadó adminisztrátori szintre emelje a saját fiókját. A Microsoft Detection and Response Team (DART) szakértői, Jeremy Kingston és Scott Clark vették észre a problémát egy folyamatban lévő támadás kivizsgálásakor.
A második kritikus hiba a Microsoft SharePoint Serverben lappangott: elmaradt egy létfontosságú hitelesítési ellenőrzés, emiatt egy jogosulatlan támadó is képes volt kiemelt jogosultságot szerezni távoli eléréssel. Ennek enyhítésére a cég azt ajánlja, hogy engedélyezzék a szerveren az Antimalware Scan Interface-t (AMSI), és állítsák teljes üzemmódra a Request Body Scan opciót. Itt is több kutató – köztük Jayson Frost (Mandiant), Genwei Jiang (Google Cloud) és FLARE OTF – járult hozzá a felfedezéshez.
A harmadik, nyilvánosan ismert hiba a Windows BitLocker titkosítását érinti: támadók bizonyos körülmények között megkerülhették a BitLocker védelmét, így hozzáférve az eredetileg titkosított adatokhoz – amennyiben fizikailag is elérik az eszközt.
Friss vállalati javítások – nemcsak a Microsoftnál ég a ház
Az utóbbi hetekben más nagy szoftvergyártók is sorra adtak ki kritikus javításokat. Az Adobe hét, legmagasabb súlyosságú hibára adott ki patcheket a ColdFusionben és a Campaignben, többségüket aktívan kihasználták. A BeyondTrust két súlyos, hitelesítésmegkerülési rést foltozott be. A Cisco is több termékéhez (Identity Services Engine, Catalyst Center, ClamAV) adott ki frissítéseket, a Fortinet pedig a FortiOS-tól a FortiSASE-ig javított hibákat. A Gitea jelentős Docker-sebezhetőséget foltozott, az Ivanti az Xtraction termékéhez adott ki javítást, a Linux-kernel csapat pedig a Januscape nevű, kódkiszökést okozó hibára adott ki frissítést.
A listát tovább bővítik az NVIDIA, a Progress Software, a Ubiquiti, az SAP, a VMware, a Zimbra és mások is – ezek is mutatják, hogy a kiberbiztonsági helyzet egyre kiélezettebb, a „zero-day” támadások száma meredeken nő.
Patch Tuesday részletei – csak az igazi geekeknek
A Microsoft részletes lista formájában közölte az összes mostani sérülékenységet: szinte minden nagyobb termék érintett, a .NET-től és az Active Directory különböző formáitól a Microsoft 365, a Dynamics NAV, a GitHub Copilot, az Azure, az Office, a Defender, a OneNote, a PowerPoint, a Word és még sok más komponensig. A hibák jelentős része távoli kódfuttatást vagy jogosultságkiterjesztést tesz lehetővé, de akad köztük információkiszivárogtatás, szolgáltatásmegtagadás és biztonsági funkciómegkerülés is bőven.
A részletes listát a Microsoft oldalán találod: az egyes hibák leírása, érintett rendszerek és a technikai részletek ott böngészhetők. Az viszont biztos: aki Microsoft-infrastruktúrára támaszkodik, annak a most kiadott foltok telepítése nem tűr halasztást, különben könnyen célponttá válhat ebben a veszélyes időszakban.
