Windows Update: oto poprawki w październikowym Patch Tuesday
W systemach Windows nadszedł czas na kolejny, październikowy Łatkowy Wtorek. Większość łatanych dziur dotyczy problemów lokalnych, nie ma w tym miesiącu żadnych hitów. Ale to głównie dlatego, że Microsoft nie zdążył załatać Exchange'a...
12.10.2022 07:53
Najwyżej wycenione w tym miesiącu podatności dotyczą mechanizmu ODBC, czyli programowych sterowników do komunikacji z bazami danych. Problem dotyczy zarówno Accessa (CVE-2022-38040), jak i SQL Servera (CVE-2022-38031, CVE-2022-37982). Ponieważ ODBC jest przezroczyste sieciowo, dziury są klasyfikowane jako zdalne wykonanie kodu.
Dalej w kolejce czeka ciąg dalszy wykrytych niedawno problemów w usłudze certyfikatów Active Directory, czyli zdalne podniesienie uprawnień przez DCOM (CVE-2022-37976). Podstawowe modele programistyczne Windowsa coraz gorzej znoszą próbę czasu. Kolejnymi dowodami na to są bowiem dziury w głównej usłudze serwera (chodzi o NT LAN Manager, usługę obecną także w klienckich Windowsach) oraz mechanizmie LSA, choć tylko lokalnie (CVE-2022-38045 i CVE-2022-38016).
Głównym tematem zdalnych ataków w tym miesiącu są jednak podatności w protokole PPTP, czyli wariackiej implementacji pewnego rodzaju VPN-a, autorstwa Microsoftu. Dziur jest cały arsenał: CVE-2022-38000, CVE-2022-30198, CVE-2022-33634, CVE-2022-24504, CVE-2022-41081, CVE-2022-38047. Wszystkie mają jedną cechę wspólną, w postaci osoby która je znalazła: jest nią Yuki Chen, ponownie.
Nie tylko Windows
Mówiąc, że w tym miesiącu brakuje hitów, mamy tu na myśli samego Windowsa. Wykryto bowiem dziurę w konektorze Azure Arc, oceniono ją na 10 punktów CVSS, czyli jest to zdalny atak "od zera do admina bez wymagań wstępnych". Oznacza to zatem możliwość zdalnego przejęcia klastra Kubernetes. Szczegóły tej wtopy, oraz opis mitygacji, znajdują się w notatce CVE-2022-37968.
Kandydatem na ważną aktualizację byłaby łatka na podatność ProxyNotShell w serwerze Microsoft Exchange, wykorzystywaną aktywnie przez włamywaczy. Ale nie będzie: Microsoft nie zdążył opracować poprawki. Zamiast tego sugeruje mitygacje.
Poprawki na pozostałe błędy są już dostępne w Windows Update. Dla Dziesiątki pakiet waży 683 megabajty, dla Windows 11 jest to tylko 241 megabajtów.
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl