Microsoft tetter flere sikkerhetshull

Microsoft publiserte tirsdag tre sikkerhetfikser, men denne gangen ingen for Internet Explorer.

Harald BrombachHarald BrombachNyhetsleder
10. mars 2004 - 09:54

Det alvorligste sikkerhetshullet Microsoft har tettet i denne månedens samling av feilfikser, er et hull i Outlook 2002 som også følger med Office XP-pakken. Hullet gjør det mulig for ondsinnede å utføre såkalt Cross Site Scripting-angrep og å kjøre vilkårlig kode i Local Security Zone.

Sårbarheten skyldes ifølge Secunia at inndataene til "mailto"-parameteren ikke verifiseres tilstrekkelig før det benyttes til å starte Outlook 2002. Dette kan utnyttes ved å inkludere " " "-karaktersekvensen i en "mailto"-URI for å sette inn vilkårlig skriptkode som kjøres hvis Outlook starter med "Outlook Today"-siden.

Sårbarheten kan utnyttes gjennom HTML-dokumenter som både e-post og websider. Brukerinteraksjon skal ikke være nødvendig.

Outlook 2002 med Service Pack 3 skal ikke være berørt.

Mer informasjon, blant annet om nedlasting av sikkerhetsfiksen, finnes på denne siden.

Microsoft har også tettet et sårbarhet i MSN Messenger. Den skyldes metoden MSN Messenger benytter for å betjene forespørsler om filer. En angriper vil kunne utnytte denne sårbarheten ved å sende en spesielt sammensatt forespørsel til en bruker som kjører MSN Messenger. Hvis angrepet er vellykket, vil angriperen kunne se innholdet i en fil på brukerens harddisk så lenge angripere vet hvor på harddisken filen befinner seg og at brukeren har leseaksess til den. Angriperen kan gjøre dette uten at brukeren av maskinen oppdager det.

Mer informasjon, blant annet om nedlasting av sikkerhetsfiksen, finnes på denne siden.

Det tredje og siste sikkerhetshullet Microsoft har tettet i denne omgang, berører brukere av Windows 2000. Sikkerhetshullet eksisterer på grunn av måten Windows Media Station Service og Windows Media Monitor Service, begge komponenter av Windows Media Services, håndterer TCP/IP-forbindelser. Hvis en ekstern bruker sender en spesielt sammensatt sekvens av TCP/IP-pakker til en av de lyttende portene til disse tjenestene, vil tjenesten slutte å svare på forespørsler og nye forbindelser blir forhindret. Tjenesten må da startes på nytt for å fungere igjen.

Mer informasjon, blant annet om nedlasting av sikkerhetsfiksen, finnes på denne siden.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra