W listopadzie 2014 roku Adobe ograniczyła aktualizację do pojedynczego produktu, wgrywając łatkę dla Flash Playera.
W grudniu tego samego roku pojawiły się jednak istotne patche dla Readera (Acrobat Reader), Flasha i Cold Fusion. Błąd wykryty w przypadku Cold Fusion (APSB14-29) mógł najwidoczniej powodować nadużywanie zużywania pamięci, tym samym wywoływać odmowę usługi.
Groźny exploit dla wersji CVE 2014-9163
Flash Player dla Windowsa, Maca i Linuxa (APSB14-27) dostał pełnowymiarową aktualizację zabezpieczeń, która rozwiązuje sześć numerowanych luk w zabezpieczeniach, które przynajmniej niektóre mogą umożliwić atakującemu przejęcia komputera z kodem zdalnym – komentuje Paul Ducklin z Sophos. Wydaje się zasadne aby informować opinie publiczną o istnieniu groźnego exploitu dla wersji CVE 2014-9163.
Boty, zombie..
Reader i Acrobat (APSB14-28) dla systemów Windows, Linux i Mac, uzyskały imponującą liczbę poprawek – 20 CVE patch. Brak wdrożenia aktualizacji może pozwolić atakującemu na przejęcie kontroli nad urządzeniem.
Microsoft wyrzucił ostatnio siedem biuletynów bezpieczeństwa do grudnia 2014 roku w tym jeden dla Exchange Server, który miał pojawić się w zeszłym miesiącu, ale dla bezpieczeństwa powstrzymano się w ostatniej chwili. W minionych latach kiedy poprawka Microsoftu wyciekła jego numer biuletynu (identyfikator, rok, sekwencja formularza) wtedy został wycofany. Wszystkie biuletyny podrzędne na liście przesuwane były do góry aby zamknąć powstałą lukę. W okresie od listopada do grudnia 2014 roku ten proces nie nastąpił, dlatego aktualizacja Exchange Server zachowującego numer MS14-075 została przydzielona do nowych biuletynów licząc od MS14-080. Warto śledzić numery aktualizacji biuletynów bezpieczeństwa, aby chronić swoje środowisko sieciowe jak najskuteczniej.
Exchange Server – luka pozwala kraść tokeny
Poprawka MS14-075 łatająca liczne luki Exchange Server, które zostały odkryte prywatnie i osobno, lecz mogące przez wspólne użycie dokonać interesujących zmian. Dla przykładu jedna luka otwiera tokeny zabezpieczeń, kolejna pozwala na użycie skradzionych tokenów do wysyłania wiadomości email w cudzym imieniu. Skradzione tokeny nie pozwalają napastnikowi na dostanie się do danych osobowych użytkownika, jednak z punktu inżynierii społecznej wysyłanie szkodliwych emalii z wiarygodnie wyglądającej skrzynki jest dużym atutem cyberprzestępcy.
Microsoft Graphics Component
Ostatni numerowany patch z grudnia 2014 roku na liście Microsoftu – MS14-085 wydaje się na stosunkowo mało istotny. Bug jest publicznie ujawnioną luką w sposobie obsługi plików JPEG. Może być wywołany przez zarażony obraz na stronie internetowej dodatkowo wyjawiając adres pamięci, co pozwala atakującemu na obejście Address Space Layout Randomisation (ASLR).
ALSR jest tym co chroni system przed zadawaniem pytań przez atakującego na temat ważnych elementów systemu w pamięci. W teorii jeśli atakujący znajdzie sposób na dokonanie szkód w aplikacji, takich jak przeglądarka czy wtyczka, muszą zastanowić się w którym miejscu go ulokować aby dokonać szkodliwego działania.