Microsoft publiserte tirsdag kveld seks nye sikkerhetsbulletiner som til sammen omtaler 12 sikkerhetshull som er blitt tett i ulike deler av Windows. Fem av sårbarhetene finnes riktignok i en versjon av Adobes Flash Player som Microsoft distribuerer.
Den kanskje mest alvorlige sårbarheten som nå fjernes, skyldes en feil i 4.0 og 6.0-versjonene av ActiveX-kontrollen XMLHTTP under håndtering av setRequestHeader()-metoden. Denne kontrollen benyttes i forbindelse med Ajax-baserte webapplikasjoner.
Denne sårbarheten utnyttes allerede aktivt og åpner for kjøring av vilkårlig kode. Microsoft informerte om denne sårbarheten for første gang i begynnelsen av november. Det er litt uklart hvorvidt dette påvirker Internet Explorer 7, som har XMLHTTP-støtte innebygd.
Microsoft har også utgitt feilfikser til Internet Explorer 6.x og 5.x som tetter flere alvorlige sårbarheter, blant annet en i CPathCtl::KeyFrame()-funksjonen i Multimedia Controls ActiveX-kontrollen (daxctle.ocx) som allerede utnyttes av ondsinnede. Men også en feil tolkningen av HTML i disse versjonene av Internet Explorer kan åpne for ondsinnede til å kjøre vilkårlig kode på det sårbare systemet. Visse layout-kombinasjoner kan føre til korrumpering av minnet.
Det meldes også om en sårbarhet i Agent ActiveX-kontrollen under håndteringen av ACF-filer, noe som kan føre til en overflytsfeil i en buffer. Dette kan i sin tur utnyttes av ondsinnede til å kjøre vilkårlig kode.
De øvrige sårbarhetene er mindre kritiske. En komplett oversikt og mer detaljer finnes på denne siden.
Sikkerhetsfiksene kan lastes ned via den nevnte siden eller ved hjelp av Microsofts oppdateringstjenester til Windows 2000 eller nyere.
