Actualizare de securitate a Windows: Unele dispozitive Bluetooth nu se vor mai conecta
Luna acesta, Microsoft livrează o serie complexă de actualizări de securitate pentru produsele sale și anunță că unele dispozitive Bluetooth nu vor mai funcționa după instalarea actualizării pentru Windows.
Luna aceasta, Microsoft livrează o serie mare de actualizări pentru Windows, Azure și browser-ul Edge. Au fost remediate 88 de vulnerabilități, iar 4 au fost făcute publice, scrie computerworld.com.
Pentru luna iunie, Microsoft a încercat să remedieze 16 vulnerabilități critice, trei importante și 16 clasificate ca fiind moderate ale browser-ului Edge. Toate vulnerabilitățile sunt legate de modul în care Edge se ocupă de problemele de memorie și motorul JavaScript Chakra.
Pentru Windows 10, Microsoft a remediat 5 vulnerabilități critice, 57 vulnerabilități importante și una moderată.
Cea mai mare problemă care afecta Microsoft Office luna acesta a fost reprezentată de patru vulnerabilități care permiteau lansarea unui atac de tipul Cross Site Scripting prin care atacatorul ar fi putut rula scripturi ca și cum ar fi fost un utilizator. Acestea ar fi fost mai greu de exploatat, dar se recomandă instalarea actualizărilor pentru pachetul Office.
Adobe a emis, de asemenea, o nouă actualizare importantă pentru Flash Player. Adobe încearcă să scoată din uz Flash Player până la sfârșitul lui 2020 având în vedere ușurința cu care poate fi exploatat.
Odată cu actualizările de securitate de luna aceasta, Microsoft a emis un avertisment pentru utilizatori în care spune că anumite dispozitive Bluetooth, printre care și cheile de securitate fizice sunt obligate să își îmbunătățească sistemul. Microsoft spune că actualizarea vizează toate versiunile Windows 10 precum și Windows 8.1, conform forbes.com.
„Ați putea avea probleme în asocierea, conectarea sau folosirea unor anumite dispozitive Bluetooth după instalarea actualizărilor de securitate emise pe 11 iunie 2019”, precizează compania. „Aceste actualizări de securitate remediază o vulnerabilitate prin prevenirea intenționată a realizării conexiunilor de la Windows către dispozitivele Bluetooth nesigure. Orice dispozitiv care folosește chei bine-cunoscute pentru criptarea conexiunilor ar putea fi afectate, inclusiv anumite chei de securitate.”
Microsoft rămâne vagă în definirea cheilor de criptare bine-cunoscute, dar, pe scurt, intențiile onorabile au fost afectate de faptul că nu a anunțat dinainte. Și acum utilizatorii riscă să descopere că dispozitivele lor nu mai funcționează.
Microsoft spune utilizatorilor afectați să contacteze producătorul dispozitivului Bluetooth pentru a determina dacă există o actualizare pentru acesta.
Odată cu actualizările de securitate de luna aceasta, Tavis Ormandy, cercetător în securitate al echipei Project Zero a Google a făcut publică o vulnerabilitate de tipul zero-day pe care Microsoft încă nu a remediat-o după 90 de zile de când a fost anunțată, scrie forbes.com.
Este vorba de un bug al SymCrypt, librăria de criptare principală care este responsabilă de implementarea algoritmilor de criptare asimetrică în Windows 10 și a algoritmilor de criptare simetrică în Windows 8. Ormandy a descoperit că folosind un certificat digital modificat poate obliga algoritmii SymCrypt să urmeze un circuit la infinit. Astfel se poate lansa un atac denial-of-service (DoS) efectiv asupra serverelor Windows precum cele care rulează protocoale IPsec care sunt necesare, spre exemplu, când se folosește VPN-ul sau Microsoft Exchange Server.
Ormandy a clasificat problema ca fiind de o severitate redusă, dar a menționat că ar putea pune la pământ o întreagă rețea de computere Windows și este bine de știut. Informațiile publicat de Ormandy dau detalii legate de vulnerabilitate precum și legat de certificatul modificat care poate genera atacul denial of service.
