Mange må lage ActiveX-kontroller på nytt

Å installere sikkerhetsfiksene fra Microsoft er ikke nødvendigvis nok.

Microsoft kom i går kveld med to sikkerhetsoppdateringer som i alt fjerner seks ulike sårbarheter i selskapet programvare. Men en del av sårbarhetene blir ikke løst ved hjelp av dette alene.

Det sistnevnte dreier seg om tre ulike sårbarheter i versjoner av Microsoft Active Template Library (ATL) som har fulgt med Visual Studio. Oppdateringen som nå fjerner disse sårbarhetene, er rettet mot utviklere som lager og videredistribuerer komponenter og kontroller som bruker ATL. Etter at disse har installert oppdateringen, må disse lage og distribuere nye versjoner av de aktuelle komponentene og kontrollene til sine kunder, slik at kundene kan få erstattet denne programvaren med versjoner som ikke er berørt av de tre sårbarhetene.

Microsoft har utgitt en egen side med råd til utviklere som står bak kontrollere og komponenter som er berørt av sårbarhetene.

Alle de tre sårbarhetene som berører ATL åpner for kjøring av vilkårlig kode. Det er primært sårbarheten som kalles «ATL COM Initialization Vulnerability - CVE-2009-2493» som er relatert til informasjonen digi.no gjenga i denne artikkelen i går.

Den åpner for instansiering av vilkårlige objekter, som kan omgå relaterte sikkerhetspolicyer, slik som killbits innen Internet Explorer.

Mer informasjon om ATL-sårbarhetene og de tilhørende sikkerhetsfiksene finnes her. Sikkerhetsoppdateringer er tilgjengelig for Visual Studio .Net 2003, 2005 og 2008, samt for videredistribusjonspakkene for Visual C++ 2005 og 2008.

Microsoft kom i går kveld i tillegg med sikkerhetsfikser til tre ulike sårbarheter i Internet Explorer. Sikkerhetsfiksene gjelder Internet Explorer i Windows 2000 og nyere, men berører ikke IE8 i Windows 7.

Sikkerhetsfiksen til Internet Explorer er i høyeste grad knyttet til de nevnte ATL-sårbarhetene. Oppdateringen beskrives av Microsoft et «forsvar i dypden-middel» for å begrense kjente angrepsvektorer innen Internet Explorer for komponentene og kontrollene som har blitt utviklet med sårbare versjoner av ATL.

Sikkerhetsoppdateringen endrer måten Internet Explorer håndterer objekter på i minne- og tabelloperasjoner. Sårbarhetene åpner for kjøring av vilkårlig kode med de samme privilegier som de brukeren selv har. Har brukeren administratorrettigheter, gis angrepskoden full tilgang til systemet.

Samtlige sårbarheter kan utnyttes ved at IE-brukere lokkes til å besøke spesielt utformede, ondsinnede websider.

Flere detaljer om IE-sårbarhetene finnes i denne sikkerhetsbulletinen.

    Les også:

Til toppen