Marcovú aktualizáciu vášho Windowsu neodkladajte. Dôvodom sú tri kritické zraniteľnosti
Medzi opravenými chybami sa nachádzajú aj takzvané zero-day vulnerabilities, ktoré sú obzvlášť nebezpečné.
Marcová aktualizácia operačného systému Windows opravuje tri kritické chyby, ktoré existovali vo Windowse už od prvého dňa. Ide o takzvané „zero-day vulnerabilities“ a patria medzi tie najrizikovejšie bezpečnostné nedostatky.
Zero-day vulnerabilities sú rizikové hlavne preto, že o nich vývojári nevedia, až kým nedôjde k ich zneužitiu. Potenciálni útočníci si tak môžu robiť prakticky čo chcú, kým sa vývojárom nepodarí vydať potrebnú aktualizáciu. Dobrou správou je, že tri chyby, ktoré Microsoft označil ako kritické, neboli aktívne zneužité počas kyberútokov.
Portál Bleeping Computer informuje, že tri kritické chyby, opravené v utorkovej aktualizácií, umožnili útočníkom vzdialený prístup k zariadeniam. Prvou kritickou chybou bol kód CVE-2022-21990. Ide o chybu, ktorá umožnila útočníkom spustiť škodlivý kód, ak by získali prístup ku vzdialenému desktopovému serveru, ak by sa obeť útoku pripojila na server útočníka.
Ďalšími chybami boli CVE-2022-24459 a CVE-2022-24512. Posledná chyba sa síce radí medzi kritické, no spoločnosť Microsoft uvádza, že možnosti zneužitia tejto chyby sú obmedzené. Ak by sa útočník rozhodol napadnúť váš počítač, musel by využiť ešte jedno slabé miesto.
Kritické chyby neboli zneužité
Ako už bolo spomenuté, žiadna z kritických chýb nebola aktívne využitá počas kyberútoku. Microsoft ale uvádza, že dve z nich boli objavené vďaka útoku typu proof-of-concept. Ide o špeciálny druh útoku, ktorý nie je pre zaradenia nebezpečný. Keďže zero-day vulnerabilities existovali v operačných systémoch už od začiatku, proof-of-concept útok má na tieto chyby poukázať. Aj práve vďaka týmto typom útokov, ktoré poukazujú na bezpečnostné medzery softvéru, dokážu vývojári identifikovať a opraviť najvážnejšie chyby.
Neprehliadni
Proof-of-concept môže byť aj simuláciou skutočného útoku, ktorú vytvárajú rôzne IT oddelenia. Niekedy môžu kód útoku publikovať, no v tomto prípade upozornia na kritické chyby a útočníci ich môžu využiť ešte skôr, ako vyjde potrebnú aktualizácia. Publikácia tohto kódu sa preto stala kontroverznou témou aj kvôli väčším spoločnostiam, ktoré kvôli publikácii kódu boli napadnuté hackermi.
Okrem kritických zero-day vulnerabilities, spoločnosť Microsoft opravila ešte 71 ďalších bezpečnostných nedostatkov, medzi ktoré sa ale nerátajú chyby, spojené s prehliadačom Microsoft Edge. Presnejšie opravili:
- 25 chýb, prostredníctvom ktorých mohli útočníci získať oprávnenia k operačnému systému.
- 3 chyby, pomocou ktorých mohli útočníci obísť bezpečnostné opatrenia.
- 29 chýb, ktoré umožnili útočníkom na diaľku spustiť škodlivý kód.
- 6 chýb, vďaka ktorým útočníci dokázali získať prístup k citlivým informáciám.
- 4 chyby typu Denial of Service, vďaka ktorým mohol útočník znefunkčniť počítač.
- 3 chyby typu Spoofing, ktoré umožnili škodlivým programom vydávanie sa za iné programy.
- 21 chýb, ktoré sa spájajú s prehliadačmi Microsoft Edge a Chromium.
Komentáre