Microsoft tetter gjentatte sikkerhetshull

I tillegg til en lapp for et nytt sikkerhetshull, har Microsoft laget en samling lappesaker som tar for seg en rekke eldre hull. Flere regnes som kritiske.

Det nyeste sikkerhetshullet, som Microsoft sendte ut advarsler om onsdag, berører en rekke av Microsofts produkter. RDS (Remote Data Services) som er en del av MDAC (Microsoft Data Access Components) har en buffer overflow-feil som gir uvedkommende mulighet til å kjøre vilkårlig kode. MDAC brukes Internet Explorer, Outlook, Outlook Express og Internet Information Server (IIS) 4.0 og 5.x, i tillegg til operativsystemene fra og med Windows 95 og NT, til og med Windows 2000.

Ifølge den danske avdelingen av sikkerhetsselskapet Secunia, er systemer som kjører Windows XP ikke sårbare, da XP benytter MDAC versjon 2.7, som ikke inneholder dette sikkerhetshullet. Heller ikke Outlook og Outlook Express hvor Outlook Email Security Update er tatt i bruk, er sårbare. Det samme gjelder IIS hvis den er riktig satt opp med IIS Lockdown Tool.

Brukere av Windows 98, NT 4, 2000 og ME kan laste ned en patch fra Microsoft. Ta og en titt på Microsofts sikkerhertsbulletin.

Microsoft har også laget en samling lappesaker for en rekke hull i Internet Explorer. Det ene hullet er en buffer overrun-feil i håndteringen av PNG-grafikkfiler. Ifølge Secunia håndterer ikke Internet Explorer parametrene på riktig måte, slik at det er mulig for ondsinnede å konstruere en PNG-fil som ifølge Microsoft vil få nettleseren til å krasje.

Et annet hull gjør det mulig for et nettsted å få Internet Explorer til å avsløre hvilke andre websider brukeren er innom etter at det ondsinnede nettstedet er blitt besøkt.

En tredje feil gjør, ifølge Secunia, at Internet Explorer ikke kontrollerer komponenter som kalles med en OBJECT-tag på rett måte. Dette skal kunne avsløre hvor på harddisken til brukeren IE mellomlagrer filer, det vil si hvor mappen "Temporary Internet Files" befinner seg.

I tillegg inneholder pakken en fiks til Cross Frame Scripting/Local HTML Resource-hullet, som gjør det mulig for nettsteder å eksekvere lokale, kjørbare filer (.exe). Secunia mener dette, i kombinasjon med den kjente plasseringen av mellomlagrede Internett-filer, kan gi katastrofale følger. Et yndet eksempel er formatering av brukeren harddisk.

Du kan laste ned patch-samlingen herfra.

Du finner Microsofts sikkerhetsbulletin om dette her.

Til toppen