Microsoft tetter flere kritiske sikkerhetshull

Flere nye og viktige sikkerhetsoppdateringer er tilgjengelig for blant annet Windows.

Microsoft har tettet flere sikkerhetshull med ulik alvorlighetsgrad, som finnes i flere Windows-utgaver, i en eldre utgave av Internet Information Server og i Outlook Express. I tillegg har selskapet begynt forberedelsene til en ny versjon av Windows Update, ved å publisere oppdaterte versjoner av BITS (Background Intelligent Transfer Service ) og WinHTTP (Windows HTTP Services ) gjennom dagens Windows Update-tjeneste. Mer om oppdateringene på denne siden.

Den ene kritiske sikkerhetsoppdateringen til Windows, tetter ifølge Microsoft en nylig oppdaget sårbarhet som gjør det mulig for ondsinnede å utnytte en overflytsfeil i en buffer i Task Scheduler til å få fullstendig kontroll over systemet, hvis brukeren er logget på med administratorrettigheter. Utnyttelse skal dog kreve at brukeren for eksempel går inn på en webside angriperen kontroller. Flere detaljer om sårbarheten finnes på denne siden. Sårbarheten finnes kun i Windows 2000 og nyere.

En annen sikkerhetsoppdatering til Windows tetter to sårbarheter i operativsystemversjoner fra og med Windows 98 og Windows 2000. Også Windows Server 2003 er berørt, mens Windows NT 4.0 med Service Pack 6a ikke skal være berørt, med mindre Internet Explorer 5.5 Service Pack 2 eller Internet Explorer 6.0 Service Pack 1 er installert på systemet.

Bare det ene av disse sårbarhetene karakteriseres av Microsoft som kritisk. Den kalles for HTML Help Vulnerability og utnytter en ikkespesifisert sårbarhet i hjelpesystemet i Windows. Også denne sårbarheten skal kunne gi en angriper full tilgang til det sårbare systemet, men også her avhenger tilgangen av den innloggede brukerens rettigheter. Utnyttelse skal kreve at brukeren for eksempel går inn på en webside angriperen kontroller.

Flere detaljer om disse sårbarhetene finnes på denne siden.

Det er også blitt funnet en alvorlig sårbarhet i IIS 4.0 for Windows NT 4.0. Sikkerhetshullet skyldes en overflytsfeil i en buffer i håndteringen av permanente omdirigeringer. Dette kan utnyttes ved å oppgi svært lange URL-er. Vellykket utnyttelse vil gi angriperen fullstendig kontroll over det sårbare systemet. Flere detaljer finnes på denne siden.

Alt tyder på at sikkerhetshullene i Internet Explorer, som ble offentliggjort tidligere denne uken, fortsatt er åpne etter at disse sikkerhetsoppdateringene er blitt installert.

Til toppen