Windows 10: łatkowy wtorek w Microsofcie. Co tym razem? Niestety, dość sporo
Microsoft co prawda wstrzymał aktualizacje opcjonalne dla Windows 10, ograniczył dystrybucję najnowszego wydania i wydłużył wsparcie starszych wersji, ale nie oznacza to, że zawieszono Łatkowe Wtorki. Kolejny z nich przypadł na 9 czerwca. Mimo zmniejszenia strumienia nowości i wysokiego ryzyka popsucia sprzętu ludzi pracujących zdalnie, czerwcowa partia aktualizacji jest największa w historii. Jakie są najważniejsze nowości serwowane nam właśnie przez Windows Update?
10.06.2020 00:12
Najpoważniejszą łataną luką jest dziura CVE-2020-1248, obecna w składniku GDI+ w Windows 10 1903 i nowszych. Umożliwia ona wykonanie kodu wskutek wyświetlenia złośliwego elementu (strona internetowa, dokument itp.). Nie jest konieczne wyrażanie zgody ani odblokowywanie czegokolwiek. Wystarczy wyświetlenie. Błąd znaleźli Chińczycy.
Druga podatność, umożliwiająca lokalne wykonanie kodu w niespodziewanym miejscu, to CVE-2020-1281. Tutaj nie wystarczy już "dowolny element", jak poprzednio i potrzebny jest dokument obsługujący OLE. Dziura znajduje się we wszystkich obsługiwanych wersjach Windows, więc prawdopodobnie jest obecna w systemie od zawsze. Błędy w OLE to już dziś trochę retro, ale jak się właśnie okazuje, wciąż zaskakuje. Odkrywcami ponownie Chińczycy.
Dużo klasyki
Czołówkę zamyka dziura w SMB w wersji pierwszej, gdzie uwierzytelniony uprzednio użytkownik zdalny może wysłać pakiet, który pozwoli na wykonanie kodu. Błąd ponownie dotyczy wszystkich wersji Windows i zapewne jest mocno historyczny, ale Windows 10 domyślnie wyłącza protokół SMB1, dzięki czemu jesteśmy bezpieczni i bez aktualizacji. Niestety, cztery inne błędy znajdują się też SMB3. Podatność wykrył Nicolas Delhaye.
Poza podium znajdują się takie urokliwe odkrycia, jak wykonanie kodu wskutek wyświetlenia ikony skrótu lub przez otwarcie pliku CAB. Nie zabrakło także pięciu dziur w silniku skryptowym Visual Basic w przeglądarce Internet Explorer (ponownie retro). Załatano również kilka dziur, które teoretycznie są poważne, ale ich wykorzystanie jest męczące.
Ciekawe nowości
Dziura w Zasadach Grupy wymaga uruchomienia spreparowanej aplikacji. Podobnie, jak dziura w jądrze Windows 10 oraz Usługach Tekstowych, a nawet samym modelu COM. Są to złożone, acz sztampowe ataki. W kategorii najciekawszych wygrywa co innego: wykonanie kodu tapetą ekranu blokady oraz możliwość podmiany powłoki SSH wskutek zbyt łagodnych reguł dostępu do konfiguracji serwera OpenSSH.
Aktualizacje zainstalują się automatycznie podczas najbliższego okna serwisowego konserwacji.