Fjerner 28 sårbarheter, men ikke den ferskeste

Microsoft kom i går med rekke sikkerhetsfikser, men maskinene er sårbare likevel.

I går var det den andre tirsdagen i desember, og da var det på nytt tid for å installere nye sikkerhetsfikser til Microsofts programvare. Denne gangen lapper oppdateringene hele 28 ulike sikkerhetshull, hvorav mange anses å være kritiske.

Sårbarhetene berører flere av Microsoft produkter. Dette inkluderer selvfølgelig Windows- og Office-produktene selskapet fortsatt støtter, men også SharePoint Server 2007, Open XML File Format Converter for Mac, samt Internet Explorer 6 og 7.

I tillegg berører sårbarheter i Visual Basic 6.0 Runtime Extended Files produktene Visual Basic 6.0, Visual Studio .NET 2002 SP1, Visual Studio .NET 2003, Visual FoxPro 8.0, Visual FoxPro 9.0, FrontPage 2003, Project 2003 og Project 2007.

Sårbarhetene kan utnyttes på ulike måter, de verste åpner for fjernkjøring av vilkårlig kode og full tilgang til systemet.

Microsoft har publisert mer detaljer om alle sårbarhetene og sikkerhetsoppdateringene på denne siden.

Det er ikke kjent at noen av disse sårbarhetene er blitt utnyttet til nå. Derimot er det blitt oppdaget en ny sårbarhet i Internet Explorer 7 som skaper problemer på maskiner hvor alle sikkerhetsoppdateringer er installert.

Gårsdagens runde med sikkerhetsoppdateringer skal ikke ha inkludert noen fiks for denne sårbarheten, som ble beskrevet av McAfee så sent som tirsdag formiddag, Central Standard Time.

Ifølge dette blogginnlegget har mange Internett-brukere i Kina meldt om en infeksjon som antas å ha kommet etter bruk av en oppdatert IE7.

Forskere ved McAfee har funnet fram til en sårbarhet i nettleseren som skyldes feilaktig håndtering av visse XML-tagger. Disse referer til allerede frigitt minne i filen mshtml.dll. Dette åpner for kjøring av vilkårlig kode.

Denne sårbarheten utnyttes av kode som laster ned å og installerer Downloader-AZN Trojan. Forskerne har bekreftet at sårbarheten påvirker både Windows XP SP3 og Windows Vista SP1.

Detaljer om sårbarheten, samt kode for hvordan den kan utnyttes, skal være offentlig tilgjengelig.

Til toppen