Microsoft januári frissítések
Angol cím: 
Microsoft Patch Tuesday
CERT-Hungary ID: 
CH-14340
Felfedezés dátuma: 
2018-01-09
Összefoglaló: 

A Microsoft szoftverek számos sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információhoz férhetnek hozzá, szolgáltatásmegtagadást idézhetnek elő, emelt szintű jogosultságokat szerezhetnek, XSS vagy CSRF támadásokat indíthatnak, email címeket hamisíthatnak, vagy tetszőleges kódot futtathatnak az áldozat rendszerén.

Leírás: 
  • A Microsoft Office (Word, Excel) több távoli kódfuttatási sérülékenységét jelentették, amelyek a memóriában lévő objektumok nem megfelelő kezelése során jelentkeznek. Ezt kihasználva egy támadó tetszőleges kódot futtathat az áldozat rendszerén a bejelentkezett felhasználó jogosultságával. A sérülékenység kihasználása egy speciálisan megszerkesztett Office állománnyal lehetséges.

  • A Microsoft Access egy XSS sérülékenységét jelentették, amely a Tervező nézetben (Design view) a kép mezőknek átadott bemenő adatok nem megfelelő megtisztítása miatt lép fel. A sérülékenység sikeres kihasználása Javascript kód végrehajtását teszi lehetővé a bejelentkezett felhasználó nevében.

  • A .NET és a .NET Core egy sérülékenysége miatt - amely az XML dokumentumok nem megfelelő feldolgozása miatt lép fel - szolgáltatásmegtagadást (DoS) lehet előidézni. A sérülékenységet egy távoli, nem hitelesített támadó egy speciálisan elkészített kérés elküldésével tudja kiváltani.

  • Az ASP.NET Core egy sérülékenységét kihasználva a támadó emelt szintű jogosultságokat szerezhet, ha a bejelentkezett felhasználó megnyit egy káros tartalmú hivatkozást. A sérülékenységet a webes kérések nem megfelelő megtisztítása okozza, ha egy hibás projekt sablonból készült az alkalmazás.

  • Az ASP.NET Core alkalmazásokban egy Cross Site Request Forgery (CSRF) található, ha az alkalmazás egy hibás projekt sablonból készült. A sérülékenységet kihasználva a támadó módosítani tudja az áldozat visszaállító kódját, így ha az használni akarja a kétfaktoros hitelesítést, nem lesz képes rá.

  • A .NET keretrendszer és a .NET Core egy sérülékenységét kihasználva egy támadó meg tudja kerülni a biztonsági előírásokat. A támadónak lehetősége van olyan tanúsítványt használni, amely ugyan érvénytelen, de a rendszer bizonyos esetekben elfogadja. A művelet figyelmen kívül hagyja az Enhanced Key Usage jelölést.

  • A Microsoft SharePoint Server több sérülékenységét kihasználva - amely az érintett szervernek küldött, nem megfelelően megtisztított kérések feldolgozása során keletkezik - emelt szintű jogosultságokat lehet szerezni. A sérülékenységek sikeres kihasználásával a hitelesített támadó XSS támadást hajthat végre, illetve script kódot futtathat a bejelentkezett felhasználó jogosultságaival.

  • A Microsoft Outlook több sérülékenységét kihasználva - egy speciálisan megszerkesztett email üzenet segítségével - a támadó kódot futtathat az áldozat rendszerén és teljesen átveheti felette az irányítást.

  • A Microsoft Office olyan sérülékenységét jelentették, amelyet kihasználva a támadó a bejelentkezett felhasználó nevében tetszőleges kódot futtathat. A sérülékenységet az RTF fájlok kezelésében lévő hiba okozza, és egy speciálisan elkészített állománnyal lehet kihasználni.

  • A Microsoft Outlook for MAC egy sérülékenységét kihasználva hamisítani lehet egy üzenet feladóját, ami social engineering vagy adathalász támadásokhoz vezethet.

  • Az Adobe Flash Player olyan sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek.
Hivatkozások: 
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0798 - NVD CVE-2018-0798
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0799 - NVD CVE-2018-0799
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0801 - NVD CVE-2018-0801
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0802 - NVD CVE-2018-0802
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0804 - NVD CVE-2018-0804
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0805 - NVD CVE-2018-0805
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0806 - NVD CVE-2018-0806
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0764 - NVD CVE-2018-0764
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0784 - NVD CVE-2018-0784
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0785 - NVD CVE-2018-0785
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0786 - NVD CVE-2018-0786
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0789 - NVD CVE-2018-0789
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0790 - NVD CVE-2018-0790
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0791 - NVD CVE-2018-0791
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0792 - NVD CVE-2018-0792
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0793 - NVD CVE-2018-0793
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0794 - NVD CVE-2018-0794
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0795 - NVD CVE-2018-0795
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0796 - NVD CVE-2018-0796
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0797 - NVD CVE-2018-0797
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0807 - NVD CVE-2018-0807
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0812 - NVD CVE-2018-0812
Gyártói referencia:https://portal.msrc.microsoft.com/en-US/...
CVE-2018-0819 - NVD CVE-2018-0819
Gyártói referencia:https://helpx.adobe.com/security/product...
Gyártói referencia:https://support.microsoft.com/hu-hu/help...
CVE-2018-4871 - NVD CVE-2018-4871
Megoldás: 
Telepítse a javítócsomagokat
Érintett verziók: 
Adobe Flash Player
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2007 Service Pack 3
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2010 Service Pack 2 (32-bit editions)
Microsoft Office 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2016 (64-bit edition)
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2007 Service Pack 3
Microsoft Word 2013 Service Pack 1 (64-bit editions)
Microsoft Word 2010 Service Pack 2 (32-bit editions)
Microsoft Word 2013 Service Pack 1 (32-bit editions)
Microsoft Word 2013 RT Service Pack 1
Microsoft Word 2016 (64-bit edition)
Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft Office Compatibility Pack Service Pack 3
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Word 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 4.6
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6.2/4.7
Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7
.NET Core 1.1
.NET Core 1.0
.NET Core 2.0
Microsoft .NET Framework 4.7.1
ASP.NET Core 2.0
Microsoft SharePoint Server 2010 Service Pack 2
Microsoft SharePoint Foundation 2010 Service Pack 2
Microsoft Outlook 2007 Service Pack 3
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2016 (32-bit edition)
Microsoft Outlook 2010 Service Pack 2 (64-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2010 Service Pack 2 (32-bit editions)
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Office Online Server 2016
Microsoft Office 2016 for Mac
Microsoft Excel 2010 Service Pack 2 (64-bit editions)
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel Viewer 2007 Service Pack 3
Microsoft Excel 2010 Service Pack 2 (32-bit editions)
Microsoft Excel 2013 RT Service Pack 1
Microsoft Excel 2013 Service Pack 1 (64-bit editions)
Microsoft Excel 2007 Service Pack 3
Microsoft Excel 2013 Service Pack 1 (32-bit editions)
Microsoft Excel 2016 (64-bit edition)
Microsoft Excel 2016 Click-to-Run (C2R) for 32-bit editions
Microsoft Excel 2016 Click-to-Run (C2R) for 64-bit editions
Microsoft Office Web Apps Server 2013 Service Pack 1
Microsoft Office Web Apps 2010 Service Pack 2
Microsoft Office Word Viewer