Nu 2016 bijna zijn vertrek nadert, heeft Microsoft hun laatste 'Patch Tuesday'-update voor het jaar uitgebracht. Deze update heeft veruit het hoogste aantal beveiligingsupdates uitgegeven in een enkele patch. Het beschikt over zes kritieke patches, waarvan de resterende zes als belangrijk worden beoordeeld. Het omvatte 34 individuele fouten, die allemaal zouden kunnen leiden tot het uitvoeren van externe code als ze worden geëxploiteerd. Dus maak je klaar voor opnieuw opstarten. Het is gunstig om de inzet van deze patches niet uit te stellen. Sinds drie van hen adresseer kwetsbaarheden die openbaar zijn gemaakt.

De kritieke fouten worden uitgelegd in bulletins MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 en MS16-154. Ze zouden de vatbaarheid voor Windows, Internet Explorer, Edge en Office overwinnen. Meer specifiek, de glitch Windows 10-gebruikers werden geconfronteerd tijdens het verbinden met internet na de laatste golf van patches die door Microsoft werden uitgebracht.

Gemarkeerd als 'kritiek':

MS16-144

MS16-144 is uitgebracht om een ​​overvloed aan bugs in Internet Explorer aan te pakken. Het lost ook een paar glitches op die de neiging hebben informatielekken te veroorzaken en een die kan leiden tot een inbreuk op de informatie in de Windows hyperlink-objectbibliotheek. Deze patch wordt opgenomen in de maandelijkse beveiligingsupdate voor Windows voor december.

Hier zijn de openbaar gemaakte fouten

• CVE-2016-7282 - een beveiligingslek met betrekking tot het vrijgeven van informatie in Microsoft-browsers.
• CVE-2016-7281 - de bug van de Microsoft-browserbeveiligingsfunctie.
• Een CVE-2016-7202 - een anomalie van het scripting engine-geheugen.

Deze update heeft de classificatie "Nu patch" gekregen, voornamelijk vanwege de ernst van het probleem dat moet worden opgelost. MS16-144 wordt toegepast op alle momenteel ondersteunde versies van IE.

MS16-145

MS16-145 reviseert verschillende van de gerapporteerde bugs in de 'nieuwe en verbeterde' Edge-browser van Microsoft. Het aantal gemelde storingen is verrassend zelfs meer dan Internet Explorer, dat wordt gecensureerd met 11 fouten. MS16-145 lost deze kritieke problemen op.

• Vijf van de gebruikelijke scripting engine-fouten.
• Twee van de geheugen corruptie bug.
• Een bypass van de beveiligingsfunctie.

MS16-146

MS16-146 heeft de neiging kritieke kwetsbaarheden van externe code-uitvoering in de Microsoft Graphics Component van Windows te patchen. Bovendien wordt het probleem met het vrijgeven van informatie in Windows GDI opgelost. Al deze kwetsbaarheden worden privé gemeld. De patch vervangt de grafische componentupdate van vorige maand voor alle Windows 10- en Server 2016-systemen.

Het is ook de tweede patch voor Windows Security Only of “roll-up” update voor deze maand.

MS16-147

MS16-147 is vrijgegeven om uitsluitend een blijvende aansprakelijkheid in Windows Uniscribe aan te pakken. De bug zou een scenario voor het uitvoeren van externe code veroorzaken. Dat is als gebruikers een speciaal vervaardigde website bezoeken of een speciaal vervaardigd document openen. Het is zeker iets dat we niet elke maand zien.

Voor degenen die het niet weten, de Uniscribe-component is een verzameling API's, die zijn bedoeld om typografie in Windows voor verschillende talen te verwerken.

MS16-148

De MS16-148 is uitgebracht om een ​​groot aantal kwetsbaarheden van Remote Code Execution aan te pakken. De 16 privé ingeschreven fouten blijven bestaan ​​in Microsoft Office. De ernst van de glitches kan worden bepaald door het feit dat als ze niet worden gepatcht, ze kunnen leiden tot een Remote Code Execution-scenario op het doelsysteem. Hier is de lijst met glitches:

• Vier geheugen corruptie bugs.
• Een probleem met het zijdelings laden van Office OLE DLL.
• Een bug die kritieke GDI-informatie samen met verschillende anderen onthult.

MS16-154

De MS16-154-patch is een wrapper en verhelpt cruciale fouten in de ingebouwde Adobe Flash Player. Dit is mogelijk het gevaarlijkste probleem als het niet wordt gepatcht. Er wordt gezegd dat het 17 problemen oplost, waaronder een fout die momenteel in het wild wordt uitgevoerd. Microsoft heeft verrassend genoeg een verzachtende factor voor dit probleem voorgesteld. Het is verbazingwekkend omdat het bedrijf dat meestal nooit doet. De oplossing is om Flash volledig te verwijderen.

Er zijn rapporten ontvangen over een zero-day kwetsbaarheid, waardoor 32-bit Internet Explorer-systemen in gevaar zijn gekomen. Dit is dus een cruciale update 'Nu patchen'.

Het adresseert:

• Vier bufferoverloopfouten.
• Vijf problemen met geheugenbeschadiging die kunnen leiden tot uitvoering van externe code.

Gemarkeerd als 'belangrijk':

MS16-149

De patch is uitgebracht om twee privé gemelde problemen in Windows op te lossen.

• Een fout in de crypto-informatieverstrekking van Windows, waarbij objecten in het geheugen worden verwerkt.
• Een bug die leidt tot misbruik van bevoegdheden in de cryptografiecomponent van Windows.

MS16-149 wordt toegevoegd aan het beveiligingsoverzicht van deze maand.

MS16-150

Dit is een beveiligingsupdate voor een enkele kwetsbaarheid, privé gemeld. MS16-150 betreft het aanhoudende probleem van Windows Kernel dat gebruikersrechten in gevaar zou kunnen brengen. Het wordt voornamelijk veroorzaakt door voorwerpen in het geheugen verkeerd te gebruiken.

MS16-151

MS16-151 probeert een paar kleine bugs te reviseren. Elk privé gemeld en wordt geschat op minimale schade. Een daarvan is gerelateerd aan de Win32k EoP-fout in stuurprogramma's in de Windows-kernelmodus. Het andere probleem dat het aanpakt, is de grafische Windows-component, het verkeerd gebruiken van objecten in het geheugen.

MS16-152

MS16-152 is een beveiligingspatch voor Windows Kernel en beoogt een uitsluitende aansprakelijkheid. Het is een privé gemeld beveiligingslek in Windows Kernel dat alleen van invloed is op Windows 10- en Server 2016-systemen. Het is bekend dat de bug in het slechtste geval het vrijgeven van informatie veroorzaakt. Deze patch wordt gebundeld met de maandelijkse roll-up van Windows.

MS16-153

Deze patch lost een enkele glitch bij het vrijgeven van informatie op, ook privé vermeld. De fout blijft bestaan ​​in een Windows-stuurprogramma-subsysteem, geactiveerd door het bijwerken van het Common Log File System (CLFS).

MS16-155

MS16-155 repareert een.NET framework-aansprakelijkheid. Microsoft heeft opgemerkt dat de bug openbaar is gemaakt maar niet wordt misbruikt. Het is potentieel een kwetsbaarheid met een lager risico en heeft een eigen updatepakket. Daarom is het gespaard gebleven van opname in de Windows-kwaliteits- en beveiligingsupdates.

Dat is genoeg dat u moet weten over elke beveiligingsupdate van de laatste patch dinsdag van dit jaar. Dus tot volgend jaar, Happy Patching.

Gerelateerde verhalen die u moet lezen:

• Windows 10 juni Security Patch bevat enorme fixes voor IE, Edge, Flash Player en Windows OS
• Cumulatieve update voor Windows 10 Mobile lost enkele bekende problemen op en verbetert de algehele prestaties
• Door Google gepubliceerde beveiligingsfout hersteld door Microsoft
• Windows 7 KB3205394 lost grote beveiligingsproblemen op, installeer het nu