Google, Microsoft oraz Adobe łatają swoje produkty

16 października, 2015

Google

Google Chrome otrzymało aktualizację do wersji 46.0.2490.71. Poprawka naprawia wiele luk w zabezpieczeniach przeglądarki przeznaczonej dla systemów Windows, Mac i Linux. Wykorzystywanie niektórych z tych luk może pozwolić osobie atakującej zdalnie przejąć kontrolę nad atakowanym systemem. Odkrywcą jednej z krytycznej podatności CVE-2015-6755 (Cross-origin bypass in Blink) jest Polak Mariusz Młyński, znany z pokonywania zabezpieczeń Windows i Firefox.

Microsoft

Firma Microsoft wydała sześć aktualizacji dotyczących luk w systemie Microsoft Windows, z czego trzy oznaczono jako ważne, a kolejne trzy jako krytyczne.

Krytyczne podatności zlokalizowano w:

1. Przeglądarce Internet Explorer od wersji 7 do 11. Aktualizacje usuwają 15 luk, z których najpoważniejsze z nich mogą pozwolić osobie atakującej na zdalne wykonanie kodu z uprawnieniami bieżącego użytkownika, jeśli ten wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu programu Internet Explorer.

2. Skryptowych silnikach JScript i VBScript. Najpoważniejsza z luk może pozwolić na zdalne wykonanie kodu, jeśli atakujący zmusi ofiarę do otworzenia specjalnie spreparowanej strony WWW, która zawiera jeden z popularnych exploit packów przeznaczonych do pokonywania zabezpieczeń programu Internet Explorer. Osoba atakująca może również osadzić formant ActiveX w aplikacji lub w dokumencie pakietu Microsoft Office, który wykorzystuje silnik renderujący IE i skierować użytkownika na specjalnie spreparowaną stronę.

3. Powłoce Windows Shell. Ta aktualizacja usuwa luki w zabezpieczeniach systemu Microsoft Windows, które mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany obiekt paska narzędzi w systemie Windows lub atakujący przekona użytkownika do wyświetlenia specjalnie spreparowane treści w Internecie.

Podatności ważne występują w:

1. Przeglądarce Microsoft Edge. Ta aktualizacja usuwa luki w zabezpieczeniach programu Microsoft Edge, a najpoważniejsza z nich może pozwolić na ujawnienie prywatnych informacji, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web przy użyciu tej przeglądarki. Osoba atakująca, której uda się wykorzystać te luki, może uzyskać takie same uprawnienia, jak zalogowany użytkownik.

2. Pakiecie Microsoft Office. Ta aktualizacja usuwa luki w pakiecie biurowym Microsoft Office. Najpoważniejsza z nich może pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik programu Microsoft Office. Osoba atakująca, której uda się wykorzystać luki, może uruchomić dowolny kod w kontekście bieżącego użytkownika.

3. Jądrze systemowym Windows. Ta aktualizacja usuwa luki w zabezpieczeniach systemu Microsoft Windows. Najpoważniejsza z luk może umożliwić podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu i uruchomi specjalnie spreparowaną aplikację.

Adobe

Firma Adobe wydała aktualizacje zabezpieczeń dla swoich programów: Adobe Reader, Adobe Acrobat i Adobe Flash Player dla systemów Windows i Macintosh. Dwie pierwsze aplikacje zawierały łącznie 56 podatności, które zostały już załatane. Z kolei jeden z najbardziej dziurawych produktów jaki kiedykolwiek istniał (Adobe Flash), zawierał ich 13. Powodzenie wykonania exploita i ominięcie zabezpieczeń SOP, pozwoliłoby osobie atakującej przejąć kontrolę nad atakowanym systemem.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]