Ačkoli to na první pohled možná vypadá jinak, den záplat od Microsoftu byl z hlediska počtu poskytnutých oprav každý měsíc rušnější. V červenci Microsoft poskytl neuvěřitelných 117 bezpečnostních aktualizací, v srpnu bylo řešeno "pouze" 44 CVE (Common Vulnerabilities and Exposures) a nyní, v zářijový den záplatování, bude v systémech Windows, Microsoft Office a serverových produktech jednorázově opraveno 66 problémů.
Rizika, která představují bezpečnostní problémy, je však třeba hodnotit jinak. Tři zranitelnosti byly klasifikovány nejvyšším stupněm ohrožení "kritické", 62 je stále klasifikováno jako "důležité". Tento měsíc je pouze jedna zranitelnost označena jako "středně závažná".
Co je důležité, Windows 10 verze 1909 už není od posledních dvou kol aktualizací pro soukromé uživatele podporována. V případě této sestavy jsou podporovány pouze podnikové a vzdělávací verze. Uživatelé by měli co nejdříve přejít na novější verzi Windows 10. S tím pomůže pomoci Asistent aktualizace systému Windows 10.
Zářijový Patchday: k dispozici jsou tyto opravy chyb a aktualizace zabezpečení
Soukromí uživatelé Windows 10 verze 1909 by měli mít na paměti, že jejich systém už není bezpečnostními aplikacemi podporován. Je dobré aktualizovat na nejnovější verzi. | Zdroj: Windows 10
V zářijový den záplat Microsoft uzavírá dvě už veřejně známé bezpečnostní chyby, tzv. chyby nultého dne. Jedna z nich je od minulého týdne také aktivně zneužívána k útokům. Ani jedna ze dvou známých mezer není klasifikována jako "kritická", obě jsou klasifikovány jako "důležité".
Tento měsíc je pravděpodobně nejvýbušnější CVE-2021-40444, chyba v MSHTML enginu, která je v současné době už zneužívána k útokům na uživatele Windows s nainstalovaným Office. K tomu se používá starý známý ActiveX. Příslušná komponenta je v dokumentu Office pro případ útoků skryta. Pokud uživatel otevře takto připravený dokument, může být spuštěn kód s uživatelskými právy. Společnost Microsoft doporučuje deaktivovat ActiveX. Kromě záplaty by si uživatelé měli dávat větší pozor na to, které dokumenty Office otevírají bez jakéhokoliv podezření.
Druhý problém, který Microsoft řeší zářijovým patchem, se týká útoků na sítě Wi-Fi. CVE-2021-36965 popisuje zranitelnost ve službě WLAN AutoConfig systému Windows. Pokud se útočník nachází ve stejné bezdrátové síti, například v hotspotu, může neopravené systémy převzít bez interakce uživatele.
Přehledný seznam všech bezpečnostních aktualizací v září 2021 poskytuje bezpečnostní blog Zerodayinitiative.com, který provozuje Trend Micro.
