Vzhledem k tomu, že rok 2016 téměř dosáhl svého odjezdu, vydala společnost Microsoft poslední aktualizaci „Úterý Úterý“ pro tento rok. Tato aktualizace má zdaleka nejvyšší počet aktualizací zabezpečení vydaných v jedné opravě. Obsahuje šest kritických záplat, přičemž zbývajících šest je označeno jako důležité. Pokrylo 34 individuálních nedostatků, z nichž všechny by mohly vést ke vzdálenému spuštění kódu. Připravte se tedy na restartování. Je vhodné nezdržovat nasazení těchto oprav. Od tří z nich řeší zranitelnosti, které byly zveřejněny.

Kritické nedostatky jsou vysvětleny v bulletinech MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 a MS16-154. Říká se, že překonávají susceptibility v systémech Windows, Internet Explorer, Edge a Office. Konkrétněji se uživatelé systému Windows 10 potýkali s chybou při připojování k internetu po poslední vlně záplat vydaných společností Microsoft.

Označeno jako „kritické“:

MS16-144

Vydáno MS16-144 k řešení množství chyb v aplikaci Internet Explorer. Také opravuje několik závad, které mají tendenci způsobit úniky informací, a chybu, která by mohla vést k narušení informací v knihovně objektů Windows s hypertextovými odkazy. Tato oprava bude zahrnuta v prosincové měsíční aktualizaci zabezpečení pro Windows.

Zde jsou zveřejněné nedostatky

• CVE-2016-7282 - chyba odhalení informací prohlížeče Microsoft.
• CVE-2016-7281 - chyba zabezpečení prohlížeče Microsoft obchází.
• CVE-2016-7202 - anomálie poškození paměti skriptovacího stroje.

Tato aktualizace byla ohodnocena jako „Oprava nyní“, a to zejména kvůli závažnosti problému, který je určen k opravě. MS16-144 bude použit ve všech aktuálně podporovaných verzích IE.

MS16-145

MS16-145 opravuje několik hlášených chyb v „novém a vylepšeném“ prohlížeči Edge společnosti Microsoft. Počet hlášených závad je překvapivě dokonce více než Internet Explorer, který je cenzurován 11 chybami. MS16-145 řeší tyto kritické problémy.

• Pět obvyklých chyb skriptovacího motoru.
• Dvě chyby v poškození paměti.
• Bezpečnostní funkce obchází.

MS16-146

MS16-146 inklinuje k opravě důležitých zranitelností pro vzdálené spuštění kódu v Microsoft Graphics Component Windows. Navíc opravuje chybu odhalení informací o Windows GDI. Všechny tyto chyby zabezpečení jsou hlášeny soukromě. Oprava má nahradit aktualizaci grafických komponent minulý měsíc pro všechny systémy Windows 10 a Server 2016.

Je to také druhá oprava pro zabezpečení systému Windows nebo „kumulativní“ aktualizace pro tento měsíc.

MS16-147

Vydání MS16-147 je určeno pouze k řešení přetrvávající odpovědnosti ve Windows Uniscribe. O chybě se říká, že započala scénář vzdálené spuštění kódu. To znamená, že uživatelé navštíví speciálně vytvořený web nebo otevřou speciálně vytvořený dokument. Je to určitě něco, co nevidíme každý měsíc.

Pro ty, kteří to neví, je komponenta Uniscribe kolekce API, které mají za úkol zpracovat typografii ve Windows pro různé jazyky.

MS16-148

Vydání MS16-148 je určeno k řešení slabých míst zranitelnosti při vzdáleném spuštění kódu. V Microsoft Office přetrvává 16 soukromě zapsaných nedostatků. Závažnost závad může být určena skutečností, že pokud nebudou ponechány, mohly by vést k scénáři vzdáleného spuštění kódu v cílovém systému. Zde je seznam závad:

• Čtyři chyby poškození paměti.
• Problém vedlejšího načítání sady Office OLE DLL.
• Chyba, která zveřejňuje kritické informace o GDI spolu s několika dalšími.

MS16-154

Oprava MS16-154 je obálka a napravuje zásadní nedostatky ve vloženém Adobe Flash Player. Toto je potenciálně nejnebezpečnější problém, pokud nebude ponechán. Říká se, že opravuje 17 problémů, včetně jedné chyby, která je v současné době spuštěna ve volné přírodě. Společnost Microsoft překvapivě navrhla pro tento problém zmírňující faktor. Je to úžasné, protože společnost to obvykle nikdy neudělá. Řešením je úplné odinstalace Flash.

Byly obdrženy zprávy týkající se nulové zranitelnosti, které dokázaly ohrozit 32bitové systémy Internet Explorer. Jedná se tedy o kritickou aktualizaci „Patch Now“.

Řeší:

• Čtyři chyby přetečení vyrovnávací paměti.
• Pět problémů s poškozením paměti, které by mohly potenciálně způsobit vzdálené spuštění kódu.

Označeno jako „důležité“:

MS16-149

Oprava je vydána k vyřešení dvou soukromě hlášených problémů v systému Windows.

• Chyba odhalení krypto informací Windows, která vyžaduje manipulaci s objekty v paměti.
• Chyba, která vede ke zvýšení oprávnění v kryptografické komponentě Windows.

MS16-149 bude přidána k tomuto měsíčnímu shrnutí zabezpečení.

MS16-150

Jedná se o aktualizaci zabezpečení pro jedinou chybu zabezpečení, ohlášenou soukromě. MS16-150 se týká přetrvávajícího problému Windows Kernel, který by mohl ohrozit uživatelská oprávnění. Je to hlavně způsobeno špatným zacházením s objekty v paměti.

MS16-151

MS16-151 se pokouší přepracovat několik menších chyb. Každý soukromě nahlásil a odhaduje se, že způsobí minimální poškození. Jedna souvisí s chybou EoP Win32k v ovladačích režimu jádra systému Windows. Další problém, který řeší, je grafická součást Windows, nesprávné zacházení s objekty v paměti.

MS16-152

MS16-152 je bezpečnostní oprava pro jádro Windows a jeho cílem je vyřešit výhradní odpovědnost. Jedná se o chybu zabezpečení oznámenou soukromě v jádru systému Windows, která ovlivňuje pouze systémy Windows 10 a Server 2016. O chybě je známo, že v nejhorším případě způsobuje zveřejnění informací. Tato oprava bude součástí měsíčního shrnutí systému Windows.

MS16-153

Tato oprava řeší závadu na zveřejnění jediné informace, která je rovněž uvedena v soukromém vlastnictví. Tato chyba přetrvává v podsystému ovladačů systému Windows a je spuštěna aktualizací systému souborů Common Log File (CLFS).

MS16-155

MS16-155 opravuje odpovědnost za.NET framework. Microsoft poznamenal, že chyba je zveřejněna, ale není využívána. To je potenciálně nižší riziko zranitelnosti a má svůj vlastní balíček aktualizace. Proto byl ušetřen zahrnutím do souhrnů kvality a zabezpečení systému Windows.

To je dost, co potřebujete vědět o každé aktualizaci zabezpečení letošního závěrečného opravného úterý. Takže až do příštího roku, Happy Patching.

Příběhy, které byste si měli přečíst:

• Oprava zabezpečení systému Windows 10. června obsahuje obrovské opravy pro IE, Edge, Flash Player a Windows OS
• Kumulativní aktualizace systému Windows 10 Mobile řeší některé známé problémy a zlepšuje celkový výkon
• Bezpečnostní chyba zveřejněná společností Google opravená společností Microsoft
• Windows 7 KB3205394 opravuje hlavní slabiny zabezpečení, nainstalujte je nyní