Drugi wtorek miesiąca już za nami, a to oznacza, że firma Microsoft udostępniła cykliczną aktualizację Windowsa 10, wydawaną z okazji Patch Tuesday. Poprawki dla systemu Windows 10 2004 widnieją w ramach Windows Update pod nazwą KB4566782. Gigant z Redmond podaje, że usuwają one aż 120 luk bezpieczeństwa, spośród których 17 otrzymało status krytycznych.
Windows 10 19041.450
Do takiej właśnie wersji zostaje podniesiony build OSu po zainstalowaniu aktualizacji. Najnowsza poprawka zbiorcza skupia się przede wszystkim na usprawnieniach związanych z bezpieczeństwem i to z tego właśnie powodu należy ją niezwłocznie pobrać.
Microsoft podaje, że KB4566782 zapewnia ulepszone zabezpieczenia podczas korzystania z urządzeń wejściowych takich jak mysz, klawiatura lub aktywny rysik, ale także usprawnienia w zakresie przechowywania plików i zarządzania nimi. Wprowadzono również ulepszenia w kwestii weryfikowania nazw użytkowników i haseł dla szeregu aplikacji, takich jak Internet Explorer, Microsoft Edge i pakietu biurowego Microsoft Office.
Jedna z ważniejszych łatek związana jest z UWP. Jak podaje Microsoft:
“Patch rozwiązuje problem w aplikacjach Universal Windows Platform (UWP), który umożliwia uwierzytelnianie pojedynczego logowania, gdy aplikacja nie ma funkcji Enterprise Authentication. Wraz z wydaniem CVE-2020-1509 aplikacje UWP mogą zacząć monitować użytkownika o podanie poświadczeń.”
W dzienniku zmian widnieje też informacja o poprawkach bezpieczeństwa dla wielu kluczowych komponentów systemu:
“Wprowadzono zmiany w obrębie programów i usług Microsoft Scripting Engine, Internet Explorer, Windows Graphics, Microsoft Graphics Component, Windows Kernel, Windows Input and Composition, Windows Media, Windows Shell, Windows Wallet Service, Microsoft Edge Legacy, Windows Cloud Infrastructure, Windows Authentication, Windows AI Platform, Windows Fundamentals, Windows Storage and Filesystems, Windows Update Stack, Windows File Server and Clustering, Windows Hybrid Storage Services, Windows App Platform and Frameworks, Microsoft JET Database Engine i Windows SQL components.”
Dwie istotne podatności
Pierwsza z nich to CVE-2020-1380, luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu, która dotyczy programu Internet Explorer 11, a tym wszystkich systemów operacyjnych, na których jest on zainstalowany, w tym Windows 10.
“Luka może uszkodzić pamięć w taki sposób, że osoba atakująca może wykonać dowolny kod w kontekście bieżącego użytkownika. Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same prawa użytkownika, jak bieżący użytkownik. Jeśli bieżący użytkownik jest zalogowany z uprawnieniami administratora, osoba atakująca, której uda się wykorzystać lukę, może przejąć kontrolę nad systemem, którego dotyczy luka. Osoba atakująca może wówczas instalować programy, przeglądać, zmieniać lub usuwać dane lub tworzyć nowe konta z pełnymi prawami użytkownika” – podaje Microsoft.
Lukę można wykorzystać używając spreparowanej witryny internetowej, która zawierałaby złośliwe formanty ActiveX lub dokumenty Microsoft Office.
Druga luka, opisana jako CVE-2020-1464, to luka w zabezpieczeniach związana z fałszowaniem, która dotyczy systemów operacyjnych Windows.
“Luka w zabezpieczeniach związana z fałszowaniem występuje, gdy system Windows nieprawidłowo sprawdza podpisy plików. Osoba atakująca, której uda się wykorzystać tę lukę, może obejść funkcje zabezpieczeń i załadować nieprawidłowo podpisane pliki. Osoba atakująca może ominąć funkcje zabezpieczeń, których celem jest zapobieżenie załadowaniu nieprawidłowo podpisanych plików” – czytamy.
Instalacja aktualizacji
Aby sprawdzić dostępność aktualizacji i przyspieszyć jej instalację, uruchomcie Ustawienia i przejdźcie do zakładki WindowsUpdate.
Źródło: Microsoft via Instalki.pl