Hiányosságok típusai és súlyosságuk
A most javított sebezhetőségek közül 53 jogosultságkiterjesztési hibát, 8 biztonsági funkció megkerülését lehetővé tevőt, 41 távoli kódfuttatásra alkalmas hibát, 18 információszivárgást eredményezőt, 6 szolgáltatásmegtagadásos (DoS) támadást, valamint 4 hamisításos gyengeséget tartalmazott a csomag. Ezek a számok nem tartalmazzák a hónap korábbi részében orvosolt négy Mariner és három Microsoft Edge problémát.
Veszélyes nulladik napi és Office hibák
Különösen figyelemre méltó a mostani Patch Tuesday egyetlen nyilvánosságra hozott nulladik napi hibája. A Microsoft SQL Server információszivárgási gyengesége lehetővé tette, hogy egy hitelesítetlen, távoli támadó hozzáférjen az inicializálatlan memóriában tárolt adatokhoz. A Microsoft szerint a hiba hátterében helytelen inputellenőrzés áll, így elegendő volt egy speciális SQL-lekérdezést lefuttatni a rendszeren ahhoz, hogy illetéktelenek érzékeny adatokat szivárogtathassanak ki. A SQL Server frissítésével és a Microsoft OLE DB Driver 18 vagy 19 telepítésével lehet védekezni.
A felfedezést Vladimir Aleksic neve alatt tüntette fel a Microsoft, de arról nem árultak el részleteket, pontosan hogyan vált a hiba ismertté.
Office és SharePoint: csak egy dokumentum kell a bajhoz
Bár most csak egy nulladik napi hibát jelentettek, a Microsoft számos más kritikus Office-hibát is javított, amelyek lehetővé tették volna a jogosulatlan kódfuttatást akár egy rosszindulatú dokumentum egyszerű megnyitásával – vagy akár csak az előnézeti panelen való átpörgetéssel is. Ezek a javítások azonban még nem érhetők el az Office LTSC for Mac 2021 és 2024 verzióihoz – ezekhez hamarosan várható a frissítés.
Egy másik fontos javítás a SharePoint szervert érinti: interneten keresztül, egy fiókkal bejelentkezve távolról át lehetett volna venni az irányítást egyes SharePoint kiszolgálók felett.
AMD és a többi nagy név: ki mire figyel most?
Külön javításokat igényelt az AMD két oldalcsatornás támadási lehetősége (L1 Data Queue és Store Queue), amelyek révén érzékeny adatszivárgás következhetett volna be – mindkettőt kritikusan veszélyesnek minősítették.
A Microsoft mellett több más gyártó is júliusban adta ki fontos foltjait: az AMD saját oldalcsatornás sebezhetőségekhez, a Cisco a Unified CM rendszerhez, a Fortinet a FortiOS/Manager/Sandbox/Isolator/Proxy termékekhez, illetve a Google is javított hibákat a Chrome-ban – viszont Androidra most nem jelentkezett frissítéssel. Az SAP-nál szintén jelentős frissítések érkeztek több platformhoz.
Javított hibák: hosszú a lista!
A részletes felsorolásban a következők is szerepelnek: kritikus hibák a Windows Hyper-V (szimulációs környezet) DDA (diszkrét eszközhozzárendelés) funkciójánál, Remote Desktop Clienten keresztül történő távoli kódfuttatás lehetősége, SQL Serverben, Office-ban (Word, PowerPoint, Excel), különféle Windows rendszerkomponensekben (NTFS, KDC Proxy, Miracast, GDI, BitLocker, SMB, SPNEGO protokoll, UPnP, Virtual Hard Disk), valamint a Visual Studio és Visual Studio Code Python kiegészítőjében.
Számos hibát érint a Windows Routing and Remote Access Service (RRAS): többféle jogosultságkiterjesztést, információszivárgást, szolgáltatásmegtagadást és különféle távoli kódfuttatási hibákat is tömegesen javítottak.
Pénz és kiberbiztonság: megéri védekezni
Egy ilyen volumenű patch-nap ismét rámutat: még mindig túl gyakran sikerül a támadóknak egészen egyszerű hibákat is kihasználniuk – néha elég egy rossz inputellenőrzés vagy formailag hibás dokumentum. Az érintett rendszerek között ott van minden, az Office-tól és SharePointtól kezdve a Windows-funkciókig és a felhős szolgáltatásokig. Az MI-alapú támadások ugyan egyre bonyolultabbak, de még mindig történnek sikeres támadások meglepően triviális hiányosságok miatt is.
A mostani javítások letölthetők a Windows Update-en keresztül, vagy a rendszergazdák közvetlenül a Microsoft oldaláról is elérhetik. Az összes hibalehetőség felsorolása több oldalt tölt meg, a kiemelt kritikus hibák közül szinte mindegyik súlyos anyagi és adatvesztési károkkal járhat – cégeknek, intézményeknek és magánszemélyeknek egyaránt. Egyes támadási lehetőségek már nyilvánosan is ismertté váltak, így mindenki jól jár, ha haladéktalanul frissít.
Az egyes javítások jellemzően „kritikus”, „fontos”, illetve „mérsékelt” és „alacsony” veszélyességű besorolást kaptak. Az információszivárgás, a távoli kódfuttatás vagy hamisítás lehetősége különleges figyelmet érdemel – nem utolsósorban, mert ezekhez gyakran elég egy rosszul megírt dokumentum vagy néhány gyors kattintás a támadó részéről.
Végül: ha valaki nem szeretne a következő nagyobb támadás áldozatává válni, ideje gyorsan frissíteni.
