Shop menü

ÓRIÁSI MENNYISÉGŰ, ÖSSZESEN 570 DARAB SEBEZHETŐSÉGET JAVÍT A WINDOWS 11 ÚJ FRISSÍTŐCSOMAGJA

Ilyen masszív frissítés még sosem érkezett a Patch Tuesday alkalmából – a listán három darab nulladik napi sebezhetőség is megbújik, azaz kifejezetten fontos frissítésről van szó.
Víg Ferenc (J.o.k.e.r)
Víg Ferenc (J.o.k.e.r)
Óriási mennyiségű, összesen 570 darab sebezhetőséget javít a Windows 11 új frissítőcsomagja

A Microsoft az idén júliusi Patch Tuesday alkalmával kiadott frissítőcsomag kereté belül minden eddiginél több sebezhetőséget javított, ugyanis összesen 570 darab sebezhetőséget száműztek, amelyek között volt három nulladik napi sebezhetőség is, ezek közül kettőt már aktívan támadtak, egyet pedig nyilvánosan is publikáltak.

A Microsoft szerint azért sikerült ennyire sok sebezhetőségre bukkanni, mert most már az AI-ban rejlő lehetőségeket is kamatoztatják a hibakeresés során, éppen ezért a továbbiakban sokkal több hibára érkezhet javítás, mint korábban, hála az eredményesebb felderítésnek. Beszédes adat, hogy az említett sebezhetőségek közül összesen 59 darab érdemelte ki a kritikus veszélyességi besorolást. Ezek közül 48 biztosított lehetőséget távoli kódfuttatásra, 9 segítségével emelni lehetett a jogosultsági szintet, az egyik segítségével biztonsági funkciót lehetett megkerülni, míg a fennmaradó egy úgynevezett spoofing típusú támadásra volt jó, azaz adathalászatot tett lehetővé.

A teljes bontás az alábbiakban látható

  • 254 darab jogosultsági szint emelését segítő sebezhetőség
  • 17 darab biztonsági funkciókat megkerülő sebezhetőség
  • 145 darab távoli kódfuttatásra lehetőséget adó sebezhetőség
  • 102 darab információszivárgást okozó sebezhetőség
  • 35 darab szolgáltatás-megtagadást eredményező sebezhetőség
  • 16 darab adathalászatot segítő sebezhetőség

A listában összesen három darab nulladik napi sebezhetőség is lapult, amelyek közül az egyik, a CVE-2026-50661-es bejegyzés alatt futó verziót már nyilvánosan is publikálták. Ezen keresztül a BitLocker biztonsági funkcióját lehetett megkerülni, amelynek jóvoltából a támadó hozzáférhetett az amúgy titkosított adatokhoz. A Microsoft szerint a siker érdekében fizikailag is hozzá kellett férnie az adott rendszerhez. Erre a sebezhetőségre egy névtelenségbe burkolódzó kutató bukkant rá.

Galéria megnyitása

Két további nulladik napi sebezhetőséget is javítottak, amelyekről nyilvánosan nem tettek bejelentést korábban, mégis aktívan próbálták kiaknázni a bennük rejlő lehetőségeket a támadók, sokszor sikerrel. A CVE-2026-56155-ös bejegyzés alatt futó sebezhetőség az Active Directory Federation Services funkciót érinti (AD FS), rajta keresztül lehetőség nyílt magasabb jogosultsági szint szerzésére, azt viszont nem árulta el a Microsoft csapta, a támadók pontosan hogyan aknázhatták ki a sebezhetőségben rejlő lehetőségeket – érthető okokból.

A harmadik nulladik napi sebezhetőség a CVE-2026-56164-es bejegyzés alatt fut és a Microsoft SharePoint Server esetében ad lehetőséget a jogosultsági szint emelésére. A távolról is kiaknázható sérülékenység esetében úgy lehetett csökkenteni a támadási felületet, hogy engedélyezni kellett az Antimalware Scan Interface szolgáltatást a szerveren, majd a Request Body Scan mód esetében a Full beállítást kellett választani. Arról ebben az esetben sem esett szó, pontosan milyen módszerekkel tudta kiaknázni a támadó a sérülékenységben rejlő lehetőségeket.

A fentiek alapján a júliusi Patch Tuesday keretén belül megjelent frissítőcsomagot érdemes telepíteni, igaz, a korábbi tapasztalatok alapján néhány napot azért nem árt várni vele, hogy kiderüljön, okoz-e komolyabb fennakadásokat eredményező hibajelenségeket vagy sem. Erről egyebek mellett a Windows Release Health Dashboard ad tájékoztatást, valamint a híreket és a fórumokat is érdemes figyelni. Az új frissítőcsomag(ok) a Windows Update szolgáltatáson keresztül érhetőek el. A Windows 10 felhasználókat az 570-ből nagyjából 300 sebezhetőség érinti, ők a KB5099539-es frissítőcsomag formájában kapják meg a javításokat, míg Windows 11 alatt a KB5101650-es és a KB5099414-es összegző frissítések érkeztek a 25H2 és a 24H2, illetve a 23H2 kiadásokhoz.

Hírlevél feliratkozás
A feliratkozással elfogadom a Felhasználási feltételeket és az Adatvédelmi nyilatkozatot.

Neked ajánljuk

    Tesztek

      Kapcsolódó cikkek

      Vissza az oldal tetejére