Přejít k hlavnímu obsahu
Bezpečnost

Lednový Patchday Microsoftu: neobvykle mnoho bezpečnostních chyb hned na začátku roku

Jiří Palyza 13.01.2022

Obvykle se Microsoft o první záplatovací den v novém roce moc nestará. Ale v případě lednového Patchday je to jinak. Microsoft poskytuje aktualizace pro 96 nových bezpečnostních chyb Windows, Office a serverových systémů.

Bezmála stovka bezpečnostních záplat je přibližně dvakrát více, než jich bylo ve stejném období v předchozích letech. Šest zranitelností je už veřejně známých, ale zatím nejsou aktivně zneužívány. Nejvíce nebezpečný je ale jiný problém.

Zasáhne uživatele systému Windows v roce 2022 lavina aktualizací? Těžko soudit hned na jeho začátku, ale vzhledem k tomu, že už v lednu bylo opraveno 96 bezpečnostních chyb je vidět, že Microsoft šlape na plyn. V porovnání se stejným obdobím v předchozích letech je to opravdu hodně. Kolečkem aktualizací si už před několika dny prošel prohlížeč Edge, kde bylo vyřešeno celkem 24 bezpečnostních mezer. Celkem to je včetně dvou už dříve vyřešených problémů v open sourcových nástrojích hned 122 záplat v lednu, čehož Microsoft zpravidla dosahuje až v nejlepších měsících během roku.

Samotný celkový počet bezpečnostních mezer ale není rozhodující, protože nebezpečí, které představují, je třeba posuzovat odlišně. Tento měsíc bylo devět zranitelností klasifikováno nejvyšším stupněm ohrožení "kritické", 89 zranitelností je stále klasifikováno jako "důležité".

Lednový Patchday: k dispozici jsou tyto opravy chyb a zabezpečení

win10update-2

Aktuální verze Windows 10 bývají podporovány rok a půl. V polovině prosince 2021 skončila podpora Windows 10 2004. Uživatelé této verze by měli brzy přejít na novější. | Zdroj: Windows/Unsplash

V lednovém dnu záplat Microsoft uzavírá šest už veřejně známých bezpečnostních chyb, tzv. chyb nultého dne (zero-day exploit). Podle informací z Redmondu ale tyto mezery prozatím nejsou aktivně využívány k útokům. Jedna z už známých zranitelností, označená kódem CVE-2021-22947, je klasifikována jako "kritická". Jde o problém v open sourcovém nástroji Curl, který lze zneužít k útokům typu man-in-the-middle. Zbývající známé zranitelnosti jsou problémy, klasifikované jako "důležité".

Na první pohled ale padne do oka zranitelnost, označená jako velmi nebezpečná: CVE-2022-21907. Řeší problémy v zásobníku protokolu HTTP a podle odborníků je vhodná ke zneužití automatizovaných útoků červů. K tomu není nutná interakce uživatele, ani zvláštní práva. Dotčená komponenta http.sys se nachází především na Windows serverech, ale v zásadě běží i na klientech.

Další kritické problémy, které Microsoft řeší, se týkají MS Office, Active Directory, DirectX, rozšíření videa HEVC, věčného Exchange a rozhraní pro virtuální počítače.

Přehledný seznam všech bezpečnostních aktualizací lednového Patchday 2022 poskytuje blog o počítačové bezpečnosti Zerodayinitiative.com ("The January 2022 Security Update Review"), který provozuje Trend Micro.

Aktuální lednový Patchday poprvé neposkytuje bezpečnostní opravy pro Windows 10 verze 2004. Uživatelé, kteří tuto verzi stále používají, by měli včas aktualizovat na novější. Jinak riskují, že se jejich systém stane zranitelným.


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme


články odjinud