Sikkerhetshull overlever fikse XP-fiks

Fikse fiksoppskrifter mot sikkerhetshullet i Windows XP-hjelp får hullet til å gjenoppstå, advarer Microsoft.

Denne uka ble det avslørt at det er en sårbarhet i hjelpeordningen for Windows XP. Den gjør det mulig for nettsteder å legge ut infame lenker som sletter filer på harddisken til brukeren som klikker på dem. Sikkerhetshullet er tettet i Service Pack 1 for Windows XP som ble gjort tilgjengelig for fri nedlasting mandag 9. september.

Les også:

I digi.no-artikkelen om sårbarheten i XP-hjelp, ble det oppgitt en lenke til en fikseoppskrift som skulle tette hullet slik at man skulle slippe å installere den svært så omfattende Service Pack 1.


Produktsjef Rune Lystad advarer sterkt mot å benytte seg av slike fikseoppskrifter, fordi de fører til at feilen gjenoppstår.

- Du risikerer nemlig at feilen oppstår igjen ved at Windows automatisk restorer filen du sletter eller renamer. Det er den automatiske gjennopprettingsfunksjonen for systemfiler i Windows som vil prøve å gjenopprette filen når du utfører visse oppgaver. Da har du plutselig feilen tilbake uten at du selv er klar over det. Vi anbefaler alle å installere SP1 for å løse dette problemet, SP1 gir deg i det hele tatt en sikrere system på grunn av mange endringer rundt sikkerhet og stabilitet, skriver Lystad i en e-post til digi.no.

Lystad legger til at digi.no tar feil når vi påstår at "Såvidt vites, har ikke Microsoft opplyst om denne sårbarheten tidligere". Microsoft publiserte en "Knowledge Base"-artikkel om sikkerhetshullet samtidig med at Service Pack 1 ble lagt ut: Uplddrvinfo.htm Contains JScript Code That Might Permit a Malicious User to Delete Files.

Det er imidlertid et poeng at feilen ikke er gjenstand for noen advarsel på Microsofts hovedside for sikkerhet, Microsoft Security.

Uten den direkte lenken angitt ovenfor er det ikke trivielt å finne artikkelen. Det enkleste er å ta utgangspunkt i Microsofts hovedside for produktsupport, Microsoft Product Support Services. Der er det to lenker som kan følges, til henholdsvis "Windows XP Support Center", eller til "Product Support Centers - Support Information by Product" der man velger Windows XP Support. Fra supportsiden for Windows XP velger man "Get Service Pack 1", og derfor går man videre til "Release Notes". Herfra går det en lenke til den svært interessante Knowledge Base-artikkelen "Q324720 List of Bugs That Are Fixed in Windows XP Service Pack 1", og denne henviser endelig til Categorized List of Fixes in Windows XP Service Pack 1.

Denne listen gir en oversikt over 312 Knowledge Base-artikler som gjennomgår hver sin Windows XP-lus som er fikset i Service Pack 1. De er ordnet etter kategori, fra "Application Compatibility" til "Management/Administration" - altså ikke helt alfabetisk - hvorav kategorien "Security" peker på 29 artikler om hver sitt sikkerhetshull. Den om Uplddrvinfo.htm er den siste i Security-kategorien.

Sårbarheten i Windows XP-hjelp er med andre ord bare ett av 29 hull som tettes i Service Pack 1, og ett av flere som ikke er nevnt i noen sikkerhetsbulletin fra Microsoft, og følgelig heller ikke kan tettes gjennom en anbefalt fiks.

Derfor er det bare å resignere: Å ty til eldre Microsoft-fikser og frittstående fikseoppskrifter betyr at du lar kjente dører stå åpne for hackerne. Service Pack 1 er påkrevet for ansvarsbevisst Internett-ferdsel med Windows XP.

Til toppen