Czerwcowe biuletyny Microsoftu łatają podatności SandboxEscaper i… psują Bluetooth

Maciej Olanicki, 12.06.2019 r.

Dokładnie cztery tygodnie minęły, odkąd po raz pierwszy na naszym blogu informowaliśmy o exploitach nieznanych wcześniej podatności Windowsa opublikowanych przez SandboxEscaper. Dziś Microsoft wydał wreszcie czerwcowe biuletyny (KB4503293), które zażegnują te i wiele innych niebezpieczeństw.

Cała sytuacja po raz kolejny może wzbudzać wątpliwości wobec strategii wydawania aktualizacji bezpieczeństwa, jaką przed laty przyjął i do dziś kontynuuje Microsoft. Comiesięcznie biuletyny były rozsądnym rozwiązaniem, gdy główną metodą dystrybucji oprogramowania (także złośliwego) był np. płyty CD. Dziś skutkują one tym, że przez okrągły miesiąc użytkownicy Windowsa 10 byli w związku exploitami udostępnionymi przez SandboxEscaper w poważnym niebezpieczeństwie.

Microsoft załatał wszystkie cztery ujawnione przez SandboxEscaper podatności: luki w harmonogramie zadań, usłudze AppXSVC oraz usłudze zgłaszania błędów pozwalające na eskalację uprawnień oraz sposób na ucieczkę z piaskownicy Internet Explorera 11. Ponadto najnowsze łatki eliminują jeszcze 88 innych podatności, między innymi pozwalającą na zdalne wykonanie dowolnego kodu na goglach Holo Lens.

Zobacz też: SandboxEscaper publikuje kolejne exploity niezałatanych podatności w Windowsie 10

Było już wiele okazji do tego, by przyzwyczaić się, że biuletyny bezpieczeństwa Microsoftu łatają podatności, ale nierzadko kosztem powodowania innych problemów. Nie inaczej jest tym razem. Microsoft w celu rozwiązania problemów z kluczami sprzętowymi FIDO (podatny był np. Google Titan) wprowadził w swoim systemie zmiany, które mogą utrudniać, a nawet uniemożliwiać, parowanie starszych urządzeń Bluetooth.

Nie wiadomo, jak wiele urządzeń sprawiać będzie problemy. Istnieje podejrzenie, że komplikacje w procesie parowania będą występować w przypadku wszystkich urządzeń Bluetooth wykorzystujących do szyfrowania połączeń powszechnie wykorzystywanych kluczy. Ich posiadaczom Microsoft zaleca… kontakt z producentem urządzenia, który powinien przygotować stosowną aktualizację.

Zobacz też: Groźna niezałatana podatność w windowsowym harmonogramie zadań

Warto także wspomnieć, że czerwcowe aktualizacje bezpieczeństwa nie zawierają łatki na podatność w bibliotece kryptograficznej SymCrypt, której wykorzystanie może prowadzić do nieskończonej pętli w usługach kryptografii Windowsa. Microsoftowi nie udało się rozwiązać tego problemu, mimo że wie o nim od blisko 90 dni. Więcej informacji na temat wszystkich podatności, jakie łatają czerwcowe biuletyny bezpieczeństwa można znaleźć na stronach Microsoft.