Black Tuesday shrnutí: nezáplatovaná 0day pro Flash a 16 bulletinů od Microsoft

15. 6. 2016 13:49 (aktualizováno) | Cybersecurity Help

Tento měsíc se Adobe a Microsoft rozhodly vydat 45 aktualizací pro své produkty, záplatovaly vše co je možné.

Adobe vydala 5 bezpečnostních bulletinů záplatujících 6 zranitelností v Adobe DNG SDK, Brackets, Creative Cloud and ColdFusion. Zero-day zranitelnost CVE-2016–4171, kterou objevila Kaspersky Lab, ještě nebyla záplatována. Dodavatel slíbil vydání aktualizace během tohoto týdne.

Doporučujeme uživatelům deaktivovat Adobe Flash dokud nebude záplata k dispozici, nebo aspoň nainstalovat EMET a zmírnit potenciální riziko exploitace, protože je tato zranitelnost aktivně zneužívána hackery. Níže je tabulka se stručným shrnutím záplat pro Adobe:

Software Vážnost CVE/CVSS Známé exploity
APSA16–03: Bezpečnostní bulletin pro Adobe Flash Player
Adobe Flash Player Kritická CVE-2016–4171
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
Volně exploitováno
APSB16–19: Bezpečnostní aktualizace k dipozici pro Adobe DNG Software Development Kit (SDK)
Adobe DNG SDK Vysoká CVE-2016–4167
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
Ne
APSB16–20: Bezpečnostní aktualizace k dispozici pro Adobe Brackets
Adobe Brackets Nízká CVE-2016–4164
6.1 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:L/I:L/A:N]
CVE-2016–4165
6.1 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:L/I:L/A:N]
Ne
APSB16–21: Bezpečnostní aktualizace k dispozici pro Creative Cloud Desktop Application
Creative Cloud Vysoká CVE-2016–4157
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–4158
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
Ne
APSB16–22: Bezpečnostní aktualizace: Hotfixes available for ColdFusion
ColdFusion Nízká CVE-2016–4159
6.1 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:L/I:L/A:N]
Ne

Microsoft záplatoval 39 zranitelností v 16 bezpečnostních bulletinech, zahrnujících 3 zranitelnosti v Oracle Outside In knihovnách, používaných serverem Microsoft Exchange.

Žádná ze zranitelností není tentokrát zero-days. Avšak, některé z nich mohou způsobit vážné bezpečnostní problémy.

Nejnebezpečnější zranitelností je dle našeho názoru vzdálené spuštění kódu v DNS serveru CVE-2016–3227. Ještě není veřejně známý žádný exploit pro tuto zranitelnost, ale vzhledem k širokému využití služby DNS, důrazně doporučujeme záplatování této zranitelnosti jak jen to je možné.

Poznámka: zranitelnost CVE-2016–3213, popsaná v MS16–063, není kompletně opravena touto záplatou a vyžaduje instalaci MS16–077, aby byla plně chránněna před touto zranitelností. Zranitelnost se nachází ve Web Proxy Auto Discovery (WPAD) protokolu, který nesprávně spravuje NetBIOS názvy. Tato zranitelnost může být exploitována lokálně i vzdáleně skrze Internet Explorer útočný vektor.

Zranitelnost CVE-2016–0025 v Microsoft Office (MS16–070) je extrémně nebezpečná, jelikož je exploitovaná využitím vestavěného ochranného mechanismu podokna náhledu, určenému k ochraně uživatelů před otevíráním nebezpečných souborů.

Zde je tabulka se stručným shrnutím vydaných záplat od Microsoftu:

Software Vážnost CVE/CVSS Známé exploity
MS16–063: Kumulativní bezpečnostní aktualizace pro Internet Explorer (3163649)
Internet Explorer Vysoká CVE-2016–0199
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–0200
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3202
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3205
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3206
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3207
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3210
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3211
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3212
6.1 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:L/I:L/A:N]
CVE-2016–3213
7.1 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:L/I:L/A:L]
Ne
MS16–068: Kumulativní bezpečnostní aktualizace pro Microsoft Edge (3163656)
Edge Vysoká CVE-2016–3198
6.1 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:L/I:L/A:N]
CVE-2016–3199
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3201
4.3 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:L/I:N/A:N]
CVE-2016–3202
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3203
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3214
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3215
4.3 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:L/I:N/A:N]
CVE-2016–3222
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3222 is publicly disclosed
MS16–069: Kumulativní bezpečnostní aktualizace pro JScript a VBScript (3163640)
JScript and VBScript Vysoká CVE-2016–3205
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3206
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3207
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
Ne
MS16–070: Bezpečnostní aktualizace pro Microsoft Office (3163610)
Office Vysoká CVE-2016–0025
9.6 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3233
8.3 [CVSS:3.0/AV:N/AC:H/PR:N/U­I:R/S:C/C:H/I:H/A:H]
CVE-2016–3234
4.3 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:R/S:U/C:L/I:N/A:N]
CVE-2016–3235
8.3 [CVSS:3.0/AV:N/AC:H/PR:N/U­I:R/S:C/C:H/I:H/A:H]
Ne
MS16–071: Bezpečnostní aktualizace pro Microsoft Windows DNS Server (3164065)
DNS Server Vysoká CVE-2016–3227
10.0 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:C/C:H/I:H/A:H]
Ne
MS16–072: Bezpečnostní aktualizace pro Group Policy (3163622)
Group Policy Střední CVE-2016–3223
8.0 [CVSS:3.0/AV:A/AC:H/PR:L/U­I:N/S:C/C:H/I:H/A:H]
Ne
MS16–073: Bezpečnostní aktualizace pro Windows Kernel-Mode Drivers (3164028)
Kernel-Mode Drivers Nízká CVE-2016–3218
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
CVE-2016–3221
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
CVE-2016–3232
3.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:L/I:N/A:N]
Ne
MS16–074: Bezpečnostní aktualizace pro Microsoft Graphics Component (3164036)
Microsoft GDI Nízká CVE-2016–3216
3.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:L/I:N/A:N]
CVE-2016–3219 
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
CVE-2016–3220
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
Ne
MS16–075: Bezpečnostní aktualizace pro Windows SMB Server (3164038)
SMB Server Nízká CVE-2016–3225 
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
Veřejnosti nepřístupné
MS16–076: Bezpečnostní aktualizace pro Netlogon (3167691)
Netlogon Střední CVE-2016–3228 
9.6 [CVSS:3.0/AV:A/AC:L/PR:N/U­I:N/S:C/C:H/I:H/A:H]
Ne
MS16–077: Bezpečnostní aktualizace pro WPAD (3165191)
WPAD Nízká CVE-2016–3213
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
CVE-2016–3236 
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]

CVE-2016–3236 veřejnosti nepřístupné
MS16–078: Bezpečnostní aktualizace pro Windows Diagnostic Hub (3165479)
Windows Diagnostics Hub Nízká CVE-2016–3231
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
Ne
MS16–079: Bezpečnostní aktualizace pro Microsoft Exchange Server (3160339)
Microsoft Exchange Server Nízká CVE-2016–0028
5.3 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:L/I:N/A:N]
Vulnerabilities in Oracle Outside In libraries
CVE-2015–6013
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
CVE-2015–6014
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
CVE-2015–6015
8.8 [CVSS:3.0/AV:L/AC:L/PR:L/U­I:N/S:C/C:H/I:H/A:H]
Ne
MS16–080: Bezpečnostní aktualizace pro Microsoft Windows PDF (3164302)
Microsoft Windows PDF Vysoká CVE-2016–3201
5.3 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:L/I:N/A:N] 
CVE-2016–3215
5.3 [CVSS:3.0/AV:N/AC:L/PR:N/U­I:N/S:U/C:L/I:N/A:N]
CVE-2016–3203
9.6 [CVSS:3.0/AV:A/AC:L/PR:N/U­I:N/S:C/C:H/I:H/A:H]
Ne
MS16–081: Bezpečnostní aktualizace pro Active Directory (3160352)
Active Directory Nízká CVE-2016–3226 
6.2 [CVSS:3.0/AV:A/AC:L/PR:H/U­I:N/S:C/C:N/I:N/A:H]
Ne
MS16–082: Bezpečnostní aktualizace pro Microsoft Windows Search Component (3165270)
Windows Search Component Nízká CVE-2016–3230 
6.8 [CVSS:3.0/AV:N/AC:H/PR:N/U­I:N/S:C/C:N/I:N/A:H]
Ne
By Cybersecurity Help =)
DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: DVB-T2 ověřeno: ČRa doplňují seznam

DVB-T2 ověřeno: ČRa doplňují seznam

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019