Windows Update. Wydano sierpniowe aktualizacje

Microsoft przygotował sierpniowy pakiet aktualizacji Windows Update dla wszystkich obsługiwanych systemów. Najważniejsze poprawki tym razem dotyczą domyślnie wyłączonych składników Windows, jak MSMQ i usługa faksowania. Jest jednak dużo innych łatek.

Ponownie sprawdza się hipoteza, że poszukiwacze dziur w Windowsach działają tematycznie, tj. okresowo zmienia się "modny" składnik systemu, w którym znajdowane jest po kilkanaście dziur. Kiedyś był to CTF, potem Bufor Wydruku, RPC i Projected File System. Od pewnego czasu źródłem nowych odkryć jest interfejs programistyczny wbudowanej kolejki komunikatów, Microsoft Message Queue (MSMQ). To już kolejny miesiąc z rzędu, w którym MSMQ okazuje się być bardzo dziurawe, umożliwiając zdalne wykonanie kodu na wysokich uprawnieniach bez uwierzytelniania.

Dla zwykłego użytkownika jest to jednak względnie dobra wiadomość. Podatności CVE-2023-35385, CVE-2023-36911 i CVE-2023-36910, dotyczące Message Queue i wycenione w skali CVSS na 9.8 punkta, nie będą dotyczyć większości stacji z Windowsem. Message Queue wymaga oddzielnego odblokowania i włączenia, a to ma miejsce wyłącznie w sytuacjach, gdzie oprogramowanie potrzebuje tej specyficznej metody komunikacji międzyprocesowej. Ponieważ działanie MSMQ wymaga obecności serwera komunikatów, funkcja ta jest domyślnie wyłączona. Nie stanowi bowiem "zwykłego API", jakim byłby np. zbiór bibliotek DLL. Najważniejsza podatność dotyczy więc tylko niektórych. Łącznie w MSMQ załatano jedenaście dziur.

Kolejne na liście najpoważniejszych problemów także są składniki, których wykorzystanie wymaga pewnej dozy zaangażowania. Podatność CVE- dotyczy usługi faksów, także bardzo rzadko używanej. Jej obecność w Windowsach może zaskakiwać, ale wiele scenariuszy korporacyjnych, zwłaszcza w USA, wciąż zakłada użycie faksów. Minie jeszcze trochę czasu, zanim usługa całkowicie "wyleci", od lat jest już jednak składnikiem opcjonalnym. W dalszym ciągu jest sens szukać w niej dziur, mimo tego.

Dwie dziury w silniku automatyzacji OLE DB/ODBC, CVE- i CVE-, są co prawda oznaczone jako zdalne, ale ich "zdalność" jest opisana w sposób balansujący na granicy definicji. Owszem, wykorzystanie dziury zakłada komunikację sieciową. Ale to podatny system musi się połączyć ze złośliwym serwerem - nie chodzi o niebezpieczne połączenie przychodzące, które miałoby sforsować systemowe zabezpieczenia. Aby wykorzystać tę podatność, Windows musi nawiązać łączność z serwerem odsyłającym odpowiedzi prowadzące do zdalnego wykonania kodu. To dość skomplikowany łańcuch wymagań wstępnych.

Windows Update łata także dziesiątki innych podatności w Windows, z których pozostałe są w większości określane jako lokalne i/lub o niższym priorytecie. Nie oznacza to jednak, że są zbędne. Pozwalają uniknąć zdobycia uprawnień administracyjnych przez złośliwe oprogramowanie (na poprawnie skonfigurowanym komputerze). Poza tym, aktualizacje Windows dotyczą nie tylko zabezpieczeń - przynajmniej dla wersji objętych głównym wsparciem. Ogłoszenia wydawnicze nie muszą zawierać informacji o wszystkich poprawkach. Dlatego warto dbać o aktualność systemu.

Dla Windows 11, najnowsza aktualizacja ma numer i waży 371,5 megabajtów. W przypadku Windows 10 jest to KB5029244, ważące 758,5 megabajtów. Najcięższą paczkę otrzymuje zwyczajowo Windows Server 2016, dla którego poprawka waży aż 1,6 gigabajta.