Windows biztonsági hibajavítások


2016. április 13. 07:50

CH azonosító

CH-13168

Angol cím

Windows security updates

Felfedezés dátuma

2016.04.11.

Súlyosság

Kritikus

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows 10
Microsoft Windows 7
Microsoft Windows 8.1
Microsoft Windows RT 8.1
Microsoft Windows Server 2008
Microsoft Windows Server 2012
Microsoft Windows Vista

Összefoglaló

A márciusi hibajavító kedden a Windows operációs rendszer jelenleg támogatással rendelkező kiadásaihoz hét biztonsági frissítés vált elérhetővé, amelyek közül az egyik kritikus besorolást kapott

Leírás

A legtöbb kockázatot hordozó sérülékenység a Microsoft XML Core Services (MSXML) összetevőjét érinti. Biztonsági probléma akkor jelentkezhet, ha egy támadó egy weboldalon keresztül speciálisan összeállított XML-tartalmat tesz közzé, és azt a felhasználó Internet Explorer segítségével megjeleníti. Ekkor a támadónak tetszőleges kódok futtatására nyílhat lehetősége. A biztonsági hiba miatt a Windows Vista és a Windows Server 2008, valamint az azok óta megjelent összes Windows kiadást frissíteni kell, beleértve a Windows 10-et is. Az operációs rendszert érintő további sérülékenységek magas kockázati besorolásúak. Ezek között akad olyan, amely jogosulatlan kódfuttatást, jogosultsági szint emelést illetve szolgáltatásmegtagadási támadásokat tehet lehetővé. Az érintett összetevők, funkciók a következők:

– Windows OLE
– Hyper-V
– Windows Secondary Logon Service 
– SAM (Security Account Manager), LSAD (Local Security Authority Domain Policy)
– CSRSS (Client-Server Run-time Subsystem).
– HTTP.sys.

Megoldás

A Microsoft alábbi biztonsági közleményeihez tartozó frissítések telepítése:
– MS16-040 
– MS16-044
– MS16-045
– MS16-046
– MS16-047
– MS16-048
– MS16-049

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Privilege escalation (jogosultság kiterjesztés)
System access (Rendszer hozzáférés)
execute code

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: technet.microsoft.com
Gyártói referencia: technet.microsoft.com
Gyártói referencia: technet.microsoft.com
Gyártói referencia: technet.microsoft.com
Gyártói referencia: technet.microsoft.com
Gyártói referencia: technet.microsoft.com
Gyártói referencia: technet.microsoft.com
Egyéb referencia: isbk.hu
CVE-2016-0088 - NVD CVE-2016-0088
CVE-2016-0089 - NVD CVE-2016-0089
CVE-2016-0090 - NVD CVE-2016-0090
CVE-2016-0128 - NVD CVE-2016-0128
CVE-2016-0135 - NVD CVE-2016-0135
CVE-2016-0147 - NVD CVE-2016-0147
CVE-2016-0150 - NVD CVE-2016-0150
CVE-2016-0151 - NVD CVE-2016-0151
CVE-2016-0153 - NVD CVE-2016-0153

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
CVE-2023-20025 – Cisco Small Business Routers sebezhetősége
CVE-2023-20118 – Cisco Small Business RV Series Routers Command Injection sebezhetősége
Tovább a sérülékenységekhez »