Listopadový den záplat: Microsoft uzavírá 55 bezpečnostních mezer

Počet 55 bezpečnostních chyb na první pohled zní jako velké množství, ale v porovnání s jinými měsíci je počet oprav listopadového Patchday poměrně nízký. Pro srovnání: v červenci Microsoft poskytl neuvěřitelných 117 bezpečnostních aktualizací, a i v zářijových a říjnových dnech oprav se objevilo v systémech Windows, Office a serverových produktech více problémů, které chtěl opravit najednou (66 a 71).

Samotný počet bezpečnostních oprav ale není rozhodující, protože rizika, která bezpečnostní problémy představují, je třeba posuzovat odlišně. Šest zranitelností bylo klasifikováno nejvyšším stupněm ohrožení "kritické", 49 je stále klasifikováno jako "důležité". Tento měsíc nebyla žádná z bezpečnostních chyb označena jako "nízká".

Listopadový patchday: k dispozici jsou tyto opravy chyb a aktualizace zabezpečení

Aktualizace poskytované v rámci pravidelných dnů záplat poskytují důležité opravy chyb Windows, Office a serverových produktů. | Zdroj: Zerodayinitiative.com

V rámci listopadového Patchday Microsoft uzavřel čtyři už veřejně známé zranitelnosti, což jsou chyby nultého dne. Dvě další zranitelnosti jsou už také aktivně zneužívány k útokům. Žádná z už známých anebo zneužívaných mezer není klasifikována jako "kritická", ale jedná se o problémy, klasifikované jako "důležité". Kromě systému Windows 10 budou tento měsíc k dispozici také bezpečnostní aktualizace nových Windows 11.

Nejvýbušnější tento měsíc pravděpodobně budou dvě zranitelnosti CVE-2021-42292 a CVE-2021-42321, které už jsou útočníky zneužívány. Jeden z problémů se týká aplikace Excel a jedná se o zranitelnost typu bypass, kdy útočníci mohou pomocí různých triků obejít bezpečnostní bariéry v tabulkovém procesoru. To vyžaduje speciálně upravený soubor aplikace Excel. Uživatelé by proto měli být obzvlášť opatrní při práci s přílohami e-mailu.

Druhá zranitelnost se týká klasického serveru, který byl v posledních měsících velkým centrem pozornosti: Exchange serveru. Problém spadá do rizika vzdáleného spuštění kódu, což znamená, že při úspěšném útoku mohou kyberzločinci na napadeném systému spustit libovolný kód.

Další bezpečnostní chyby, které už byly zveřejněny dříve, se týkají 3D prohlížeče v systému Windows a protokolu RDP (Remote Desktop Protokol). Přehledný seznam všech bezpečnostních aktualizací v listopadu 2021 nabízí bezpečnostní blog Zerodayinitiative.com, který podporuje Trend Micro.

Bezpečnostní updaty Windows 10 a 11: aktuální stav

Pravidelná instalace bezpečnostních updatů je důležitá z hlediska zachování maximální odolnosti systému vůči rizikům. | Zdroj: Windows 10

Pokud chcete mít přesný přehled: aktuální stav updatů systémů Windows 10 a 11 můžete sledovat na stránce support.microsoft.com v sekci "Windows 10 update history". Podrobnosti získáte kliknutím na konkrétní verzi Windows v levém sloupci.

Nejjednodušší přístup k aktualizacím je přes Nastavení a položku "Aktualizace a zabezpečení". Tam přejděte na položku "Windows Update". Systém provede kontrolu a vyhledání aktuálních updatů a informuje vás o výsledku. Kumulativní aktualizace mají tu výhodu, že spojují všechny opravy pro danou verzi systému Windows bez ohledu na jejich přesný stav.

Pokud jste tedy zmeškali jeden nebo více Patchdays, nemusíte aktualizace instalovat dodatečně, ale můžete systém updatovat najednou. Pokud si nejste jisti, jakou verzi Windows používáte, zadejte do vyhledávání na Hlavním panelu vlevo "winver" a spusťte příkaz.

Při aktualizacích Windows včetně bezpečnostních záplat v rámci Patchdays je dobré udržovat pozornost a nespěchat. Na tom, zda záplaty instalujete okamžitě, nebo až několik dnů po jejich vydání, příliš nezáleží. Je dobré si ale předem připravit funkční zálohy. Pak zvládnete Patchday bez problému.