Listopadowe biuletyny: załatane 53 podatności, obyło się bez 0‑day
Czas się łatać, obywatele. Microsoft wydał listopadowe biuletyny bezpieczeństwa, w których dostępne są łatki na 53 podatności w Windowsie, pakiecie Office, Internet Explorerze Edge'u, ASP.NET Core, .NET Core i silniku Chakra Core. Żadna z usuniętych w listopadzie podatności nie stanowiła jednak exploitu 0-day.
Informacje o czterech z załatanych w listopadzie podatności zostały opublikowane już wcześniej, jednak nie zostały one wykorzystane:CVE-2017-8700 to podatność w ASP.NET Core 1.1 i 1.0, która pozwała uzyskać atakującemu dostęp do zastrzeżonych elementów aplikacji webowych z pominięciem mechanizmu CORS, umożliwiającego wykonywanie żądań AJAX pomiędzy serwerami w różnych domenach.CVE-2017-11883 umożliwiała atakującemu zdalne wysłania do .NET Core żądania spreparowanego tak, by spowodować blokadę usług w aplikacjach webowych ASP.NET Core.CVE-2017-11827 pozwalała na podatności w zarządzaniu pamięcią przez przez przeglądarki Internet Explorer 11 i Microsoft Edge, a następnie zdalne wykonanie kodu z uprawnieniami bieżącego użytkownika, także jeśli był on administratorem. CVE-2017-11848 to podatność odnaleziona w Internet Explorerze w wersji 9, 10 i 11, która umożliwiała po wizycie na przygotowanej przez atakującego stronach dalsze śledzenie użytkownika.Listopadowe biuletyny łatają krytyczne podatności w przeglądarkach Microsoftu, Internet Explorerze 11 i Edge'u. W IE 11 załatano 13 podatności,z czego osiem to podatności krytyczne, 4 ważne i jedna umiarkowanie niebezpieczna. W najnowszej przeglądarce Microsoftu podatności załatano niemal dwukrotnie więcej, z czego aż 16 miało status krytyczny, zaś 8 ważny.
W przypadku Windowsa mamy jednak do czynienia z lukami niższego priorytetu. W Windowsie 7 załatano 12 podatności, z których wszystkie miały status ważnych, z Windowsa 8.1 pozbyto się 11 ważnych luk. W kolejnych wydaniach Windowsa 10, 1607 (Anniversary Update) i 1703 (Creators Update), usunięto po 12 ważnych podatności, a z najnowszej wersji Windowsa – 9. Wydano także łatki na 9 krytycznych podatności Flasha.
Nie obyło się oczywiście bez komplikacji: w tym miesiącu aktualizacja może poskutkować wyświetlaniem błędów podczas zamykania aplikacji – Microsoft pracuje wciąż na jej rozwiązaniem. Ponadto istnieje możliwość, że przestaną działać aplikacje UWP wykorzystujące asm.js – do przywrócenia sprawności konieczna będzie ich reinstalacja.