Tę poprawkę zamieszczoną w grudniowym pakiecie Patch Tuesday należy od razu zainstalować
- Janusz Chustecki,
- 14.12.2020, godz. 10:35
Zaprezentowany przez Microsoft w zeszłym tygodniu grudniowy pakiet poprawek Patch Tuesday (którego premiera ma zawsze miejsce w drugi wtorek każdego miesiąca) jest dużo skromniejszy niż wcześniejsze edycje tego oprogramowania i zawiera tym razem tylko 58 pozycji. Jedną na jedną należy zwrócić szczególną uwagę
Tym razem w pakiecie nie znajdziemy żadnej poprawki likwidującej zagrożenia „zero-day”, jednak Microsoft zamieścił w nim, a konkretnie w sekcji poświęconej platformie Office - jedną krytyczną modyfikację (a drugiej powiemy na końcu newsa), na którą warto zwrócić uwagę i która powinna być natychmiast wdrożona przez każdego administratora systemu IT. Chodzi o poprawkę bezpieczeństwa modyfikującą oprogramowanie Microsoft Exchange Server.
Krytyczna poprawka modyfikująca Exchange Server jest oznaczona symbolem CVE-2020-17132. Poprawka likwiduje łatwo do wykorzystania lukę znajdującą się w zabezpieczeniach sieciowych, która jest o tyle niebezpieczna iż nie wymaga żadnej interakcji ze strony użytkownika komputera.
Zobacz również:
- Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
- Poprawki błędów od Apple - iOS/iPadOS i visionOS zaktualizowane
- Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC
Znający ją haker może w stosunkowo prosty sposób uruchomić na serwerze Exchange dowolny kod i poczynić w firmie trudne do oszacowania szkody. Dlatego jest to poprawka, której powinno towarzyszyć polecenie „Aktualizuj natychmiast” i za którą śledzący pakiety Patch Tuedsy administratorzy powinni się wziąć w pierwszej kolejności.
Druga krytyczna poprawka modyfikująca platformę Office oznaczona jest symbolem CVE-2020-17133 i modyfikuje oprogramowanie Microsoft Dynamics. Pozostałe cztery poprawki z tej sekcji modyfikują programy Microsoft Exchange (CVE-2020-17132), Microsoft Office SharePoint (CVE-2020-17118), Microsoft Office Excel (CVE-2020-17122) i Outlook (CVE-2020-17130).