Ker je leto 2016 skorajda odšlo, je Microsoft izdal njihovo zadnjo posodobitev za Patch Tuesday. Ta posodobitev ima daleč največ varnostnih posodobitev, izdanih v enem samem popravku. Vsebuje šest kritičnih popravkov, preostalih šest pa ocenjuje kot pomembne. Zajel je 34 posameznih napak, vse pa bi, če bi jih izkoristile, lahko privedle do daljinskega izvrševanja kode. Zato se pripravite na ponovni zagon. Ustrezno je, da ne zamudite uvajanja teh popravkov. Od tega se trije lotevajo ranljivosti, ki so bile javno razkrite.

Kritične pomanjkljivosti so razložene v biltenih MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 in MS16-154. Menda naj bi premagali dovzetnost v operacijskem sistemu Windows, Internet Explorer, Edge in Office. Natančneje, prišlo je do težav, s katerimi so se spopadali uporabniki Windows 10 med povezovanjem v internet po zadnjem valu popravkov, ki ga je izdal Microsoft.

Označeno kot "kritično":

MS16-144

MS16-144 je izdan za reševanje številnih napak v Internet Explorerju. Prav tako odpravi nekaj napak, ki ponavadi povzročajo puščanje informacij in enega, ki bi lahko privedel do kršitve informacij v objektni knjižnici hiperpovezave Windows. Ta obliž bo vključen v mesečno decembrsko posodobitev varnosti za Windows.

Tu so javne pomanjkljivosti

• CVE-2016-7282 - Microsoftova ranljivost za razkritje informacij v brskalniku.
• CVE-2016-7281 - Microsoftova varnostna funkcija brskalnika obide napako.
• CVE-2016-7202 - skriptna motnja pomnilnika motorja.

Ta posodobitev je bila ocenjena kot "Naloži zdaj", predvsem zaradi resnosti težave, ki jo je določil za odpravo. MS16-144 bo uporabljen za vse trenutno podprte različice IE.

MS16-145

MS16-145 prenavlja več prijavljenih napak v Microsoftovem "novem in izboljšanem" brskalniku Edge. Število prijavljenih napak je presenetljivo celo več kot Internet Explorer, ki je popisan z 11 napakami. MS16-145 rešuje ta kritična vprašanja.

• Pet običajnih napak motorja za scenarij.
• Dva od napake v korupciji spomina.
• Obvoz varnostne funkcije.

MS16-146

MS16-146 ponavadi zakrpi kritične ranljivosti na daljavo pri izvajanju kode v Microsoftovi grafični komponenti Windows. Poleg tega odpravlja napako pri razkritju informacij GDI v sistemu Windows. O vseh teh ranljivostih poročajo zasebno. Obliž naj bi nadomestil prejšnjo mesečno posodobitev grafičnih komponent za vse sisteme Windows 10 in Server 2016.

To je tudi drugi popravek za samo varnost sistema Windows ali posodobitev "roll-up" za ta mesec.

MS16-147

MS16-147 je na voljo samo za reševanje obstojne odgovornosti v sistemu Windows Uniscribe. O napaki naj bi se sprožilo scenarij izvajanja oddaljene kode. To pomeni, če uporabniki obiščejo posebej izdelano spletno mesto ali odprejo posebej izdelan dokument. To je gotovo nekaj, česar ne vidimo vsak mesec.

Za tiste, ki ne vedo, je komponenta Uniscribe zbirka API-jev, ki naj bi upravljali s tipografijo v sistemu Windows za različne jezike.

MS16-148

MS16-148 je izdan za reševanje številnih ranljivosti izvajanja oddaljene kode. 16 zasebnih napak v programu Microsoft Office še vedno obstaja. Resnost napak je mogoče določiti z dejstvom, da bi lahko, če ostanejo nepovezani, prišlo do scenarija izvajanja oddaljene kode v ciljnem sistemu. Tu je seznam težav:

• Štiri napake v korupciji spomina.
• Težava stranskega nalaganja Office OLE DLL.
• Napaka, ki razkrije kritične informacije o GDI skupaj z več drugimi.

MS16-154

Obliž MS16-154 je ovitek in odpravlja ključne pomanjkljivosti vdelanega predvajalnika Adobe Flash. To je potencialno najnevarnejše vprašanje, če ga pustimo nepovezanega. Odpravljeno naj bi bilo 17 težav, vključno z eno napako, ki trenutno deluje v naravi. Microsoft je za to vprašanje presenetljivo predlagal blažilni dejavnik. Presenetljivo je, ker podjetje običajno tega nikoli ne stori. Rešitev je v celoti odstraniti Flash.

Prejeta so bila poročila o ničelni dnevni ranljivosti, ki jim je uspelo ogrožati 32-bitne sisteme Internet Explorerja. Torej, to je kritična posodobitev "Patch Now".

Naslovi:

• Štiri napake s prelivanjem blažilnika.
• Pet težav s korupcijo pomnilnika, ki bi lahko povzročile daljinsko izvrševanje kode.

Označeno kot "Pomembno":

MS16-149

Obliž je sproščen za reševanje dveh zasebnih težav, prijavljenih v sistemu Windows.

• Napaka pri razkritju kriptovalut Windows, ki vključuje obdelavo predmetov v pomnilniku.
• Hrošček, ki pri komponentah kriptografije Windows privede do privilegijev.

MS16-149 bo dodan varnostnemu seznamu tega meseca.

MS16-150

To je varnostna posodobitev za edino ranljivost, o kateri se poroča zasebno. MS16-150 se nanaša na vztrajno težavo sistema Windows Kernel, ki bi lahko ogrozila privilegije uporabnikov. V glavnem ga povzročajo nepravilne uporabe predmetov v spominu.

MS16-151

MS16-151 poskuša popraviti nekaj manjših hroščev. Za vsako zasebno poročanje in ocenjuje se, da lahko povzroči minimalno škodo. Ena je povezana z napako Win32k EoP v gonilnikih načina Windows Kernel. Druga težava, ki jo obravnava, je grafična komponenta Windows, ki napačno ravna s predmeti v pomnilniku.

MS16-152

MS16-152 je varnostni popravek za jedro sistema Windows in je namenjen reševanju izključne odgovornosti. Gre za zasebno ranljivost v jedru Windows, ki prizadene samo sisteme Windows 10 in Server 2016. Znano je, da je hrošček v najslabšem primeru povzročil razkritje informacij. Ta obliž bo priložen mesečnemu uvajanju sistema Windows.

MS16-153

Ta obliž reši eno težavo pri razkritju informacij, ki je tudi zasebno navedena. Napaka še vedno obstaja v podsistemu gonilnikov Windows, ki ga sproži posodabljanje sistema skupnih datotek dnevnika (CLFS).

MS16-155

MS16-155 popravi okvir.NET okvira. Microsoft je ugotovil, da se hrošče javno razkriva, vendar ga ne izkoriščajo. Možno je ranljivost manjšega tveganja in ima svoj paket posodobitev. Zato je bil prikrajšan od vključitve v sistem kakovosti Windows in varnosti.

To je dovolj, kar morate vedeti o vsaki posodobitvi varnosti letošnjega zadnjega torka Patch. Torej do prihodnjega leta, Happy Patching.

Sorodne zgodbe, ki jih morate prebrati:

• Varnostni popravek sistema Windows 10 June vsebuje ogromno popravkov za IE, Edge, Flash Player in Windows OS
• Kumulativna posodobitev sistema Windows 10 Mobile odpravlja nekatere znane težave in izboljša splošno učinkovitost
• Googlova napaka v varnosti, ki jo je zakrpal Microsoft
• Windows 7 KB3205394 popravi večje varnostne ranljivosti, namestite ga zdaj