Μα όλες οι εκδόσεις των Windows; Η Microsoft κυκλοφόρησε χθες το βράδυ το τελευταίο της μηνιαίο δελτίο ασφαλείας, το λεγόμενο Patch της Τρίτης.
Οι ενημερώσεις ασφαλείας ξεκινούν να διορθώνουν κρίσιμες ευπάθειες από το Windows Vista και φτάνουν στο τελευταίο Windows 10. Όπως προαναφέραμε η σοβαρή ευπάθεια (MS16-013) θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα σαν συνδεδεμένος χρήστης.
Φυσικά οι λογαριασμοί των διαχειριστών διατρέχουν το μεγαλύτερο κίνδυνο καθώς προσφέρουν στον εισβολέα περισσότερα δικαιώματα.
Για να καταλάβετε τη σοβαρότητα της ευπάθειας ακόμα και η τελευταία έκδοση του Windows Server 2016 Tech Preview 4 επηρεάζεται από την ευπάθεια, και απαιτεί επιδιόρθωση.
Τα καλά νέα είναι ότι σύμφωνα με τη Microsoft δεν υπήρχε κάποιος που να έκανε exploit στο ελάττωμα.
Η εταιρεία διέθεσε επίσης άλλες τρεις κρίσιμες ενημερώσεις που επιδιορθώνουν σφάλματα σε Windοws και Office.
Η MS16-012 επιδιορθώνει αδυναμίες που επέτρεπαν σε έναν εισβολέα να εκτελέσει κώδικα σε ένα σύστημα εξαπατώντας το χρήστη με το άνοιγμα ενός ειδικά επεξεργασμένου αρχείου PDF. Επηρεάζονται περισσότερο οι χρήστες των Windοws 8.1 και Windοws 10. Το ελάττωμα δεν φαίνεται να έχει αξιοποιηθεί από επιτιθέμενους.
Η MS16-015 διορθώνει μια σειρά από αδυναμίες στα μνήμη του Microsoft Office, το οποίο θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει κώδικα εξ αποστάσεως εάν ένας χρήστης ανοίξει ένα ειδικά δημιουργημένο αρχείο του Office. Ο εισβολέας θα μπορούσε να αποκτήσει τα ίδια δικαιώματα στο σύστημα που έχει και ο συνδεδεμένος χρήστης. Το ελάττωμα αναφέρθηκε στην εταιρεία ιδιωτικά, εκτός από ένα ξεχωριστό cross-site scripting του SharePoint, το οποίο δημοσιοποιήθηκε.
Η MS16-022 επιδιορθώνει πάρα πολλές ξεχωριστές ευπάθειες του Adobe Flash Player σε όλα τα Windows από 8.1 και άνω.
Η εταιρεία κυκλοφόρησε επίσης μια αθροιστική ενημερωμένη έκδοση για τον Internet Explorer (MS16-009) αλλά και τον νεότερο browser της, Edge για τα Windows 10 (MS16-011).
Σε μια από τις πιο σοβαρές ατέλειες, ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αδυναμίες στον τρόπο που διαχειρίζονται τα προγράμματα περιήγησης Internet Explorer και Edge αντικείμενα στη μνήμη για να αναλύσουν απαντήσεις HTTP.
Εκτός από τις παραπάνω κρίσιμες ενημερώσεις η Microsoft κυκλοφόρησε άλλα τέσσερα patches: MS16-014, MS16-016, MS16-017, MS16-018, MS16-019, MS16-020, και MS16-021 για “σημαντικά” θέματα, όπως ανύψωση προνομίων και denial-of-service.