Windows i styczniowe aktualizacje - ostatnie dla Windows 7
Pierwsze wydanie aktualizacji z Redmond w roku 2023 to zarazem ostatnie dla Windows 7 i 8.1. Katalog poprawek MSRC wzbogacił się w tym miesiącu o 2278 wpisów, ale rzeczywistych łatek jest znacznie mniej.
Wysoka liczba notatek związanych z aktualizacjami dla Windowsów wynika z tego, że - jak zwykle - większość to powtórki: te same problemy zaraportowane np. dla piętnastu systemów jednocześnie. Notatek CVE jest mniej, a prawdziwie palących problemów jest raptem kilkanaście. Choć niektóre z nich są poważne, rok 2023 otwieramy tu bez szczególnych niespodzianek. Najważniejsze są "bezdotykowe" dziury, umożliwiające atak z sieci bez uwierzytelniania.
Ponieważ dziury Windowsa są odkrywane przez poszukiwaczy koncentrujących się na danym zagadnieniu przez wiele miesięcy, niektóre komponenty pojawiają się na liście poprawek kilka razy z rzędu, a potem na jakiś czas znikają. Podobnie jest i tym razem. Na górze listy znajdują się CVE-2023-21732 i CVE-2023-21681, które dotyczą łączności ODBC z MSSQL. Ciekawe, poważne - ale niszowe.
LDAP, ALPC, Crypto
Dalej w kolejności możemy zobaczyć problem z LDAP na kontrolerach domeny (CVE-2023-21676) oraz ucieczkę z sandboksa z wykorzystaniem ALPC (CVE-2023-21674). MSRC obfituje też w zbiór podatności w usługach kryptograficznych (m.in. CVE-2023-21561) - ale tym razem nie takich, które pozwalają na kradzież tożsamości lub oszukiwanie w podpisach. CryptSvc ma być wykorzystywany do nieuprawnionego podniesienia uprawnień do poziomu użytkownika SYSTEM.
Dalsza część artykułu pod materiałem wideo
VPN
Dobrą wiadomością nigdy nie są dziury w obsłudze VPN-ów i tunelowania, a te ostatnio mają ich dziesiątki. Pewnym pocieszeniem jest fakt, że wszystkie z nich (np. CVE-2023-21535) wymagają zaaranżowania wysoce skomplikowanych okoliczności wstępnych, by dało się je wykorzystać. Z drugiej jednak strony osiem notatek CVE jednego dnia dla L2TP i SSTP to mało zachęcająca wiadomość. A ma to miejsce już kolejny miesiąc.
Aktualizacje pojawiły się w Windows Update wtorkowym wieczorem i zainstalują się automatycznie (jeżeli system funkcjonuje poprawnie). Dla Windows Server 2016 jest to półtora gigabajta, dla najnowszego Windowsa 10 - 701 megabajtów, a paczka dla ostatniej Jedenastki waży jedynie 273 megabajty. Są one, jak zawsze, kumulatywne. Stąd ich duża objętość.
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl