Únorové aktualizace Microsoftu

Pravidelné dávky Microsoft aktualizací beru jako samozřejmost kterou pokud možno co nejdříve nainstalovat. Je to jeden ze skutečných způsobů zabezpečení počítačů. Bohužel v poslední době to vypadá, jako by bylo QA oddělení Microsoftu trvale na dovolené. Prakticky téměř každý měsíc se objeví update, který způsobí nějaký vážný problém na významném počtu strojů. V minulosti to byl třeba pravidelný BSOD nebo neustálé restartování stroje apod.

Seznam aktualizací pro měsíc únor 2015 je zde.

KB3001652 - Update rollup for Visual Studio 2010 Tools for Office Runtime

prakticky po pár hodinách byl tento update odstraněn, protože způsoboval zaseknutí celého Windows Update. Podle popisu šlo zřejmě o "školáckou" chybu, kdy se během instalace pod neinteraktivním účtem zobrazil dialog, který pak není vidět.

KB3034196 - Cumulative security update for JScript9.dll in Internet Explorer

pokud instalujete aktualizace ručně, tedy otevřením Windows Update z Control Panelu, tak se tento update na poprvé neukáže. Teprve až po první dávce aktualizací a následném restartu, když spustíte Windows Update znovu. Opravdu velmi podivné chování, předpokládal bych, že Windows Update umí případně vytvářet závislosti (pořadí instalace) na jiných updatech.

KB3013455 - Security update for Windows kernel mode driver

toto je téměř nekonečný seriál aktualizací části Windows API v kernel módu (win32k.sys), kde probíhá například zpacování TrueType fontů. Jelikož jde o komplexní binární formát, najde se zde plno zneužitelných chyb umožňující i spuštění kódu. Ne však pod přihlášeným uživatelem, ale na úrovni kernelu se všemi důsledky. Nepomůžete si moc ani zákázáním vložených fontů v prohližeči, protože dnešní "moderní" webové frameworky používají vlastní fonty pro zobrazování ikon, stránky jsou pak bez ikon. Takže je třeba stále včas aktualizovat.

Jaké bylo moje překvapení, když na několika 32 bitových virtualních strojích s Windows 2003 a 2008 se pak objevilo místo Courier New fontu toto:

Screenshot srovnává vykreslování fontů před a po aktualizaci. Začal jsem tedy postupně odinstalovávat jednotlivé aktualizace, až jsem našel tuto která to způsobuje. Veselá je i reakce Microsoftu, že prý je to uvedené v popisu toho update jako know issue.

To je sice pěkné, ale po té co Microsoft "vylepšil" stránky jednotlivých security bulletinů tak, že sekce "known issues" se skrývá až pod odkazy na jednotlivé KB, je praticky nemožné to najít. Nakonec se dozvíme, že:

After you install security update 3013455, you may notice some text quality degradation in certain scenarios.

Nemohu si pomoci, ale po té aktualizaci to nelze číst vůbec a nechápu jak mohou něco takového vůbec vypustit ven. Problémy s tím má podle diskusí poměrně dost lidí a týká se to i 64 bitových systémů. Nicméně Windows 7 a 8.1 tím postižené nejsou.

Odinstalace této aktualizace ovšem zase znamená značné bezpečnostní riziko, které nelze nahradit ani zabezpečením na úrovni práv účtu pod kterým aplikace (prohlížeč, office) běží, protože ke spuštění případného škodlivého kódu v souboru vloženého fontu dojde na úrovni Win32k.sys kernel driveru systému. A teď si vyberte ...

Aktualizace 19.2.2015

Microsoft vydal opravenou verzi této aktualizace KB3037639 pro Windows Vista, 2008 a 2003.

Komentáře (1) -

  • ... a tos, Petře, neviděl, co to předvedlo se Sharepointem Frown
Komentáře jsou uzavřeny