En sårbarhet i Windows kan angripes via blant annet Internet Explorer. Det er uklart når en endelig sikkerhetsfiks vil bli tilgjengelig.

Angriper XML-sårbarhet i Windows

Microsoft har bare rukket å få klar en midlertidig løsning.

Microsofts kom i går med sikkerhetsoppdateringer som fjerner i alt 27 sårbarheter fra selskapets programvareproduker. Men dessverre har ikke selskapet rykket å fjerne den kanskje alvorligste av de kjente sårbarhetene i Windows. Dette er en sårbarhet i Microsoft XML Core Services (MSXML) som allerede blir utnyttet i faktiske angrep.

Sårbarheten skal ha blitt oppdaget av Google Security Team, som varslet Microsoft den 30. mai. Microsoft har foreløpig bare fått klar en Fit it-løsning, et botemiddel som fjerner angrepsvektoren, men som dermed også skrur av noe funksjonalitet i den berørte løsningen.

Sårbarheten det er snakk om, åpner for fjernkjøring av vilkårlig kode på det sårbare systemet. Den kan utnyttes via en spesielt utformet webside som ofrene kan lokkes til via lenker i for eksempel epostmeldinger eller lynmeldinger, dersom websiden åpnes i Internet Explorer. I tillegg kan sårbarheten utnyttes via Office-dokumenter dersom de åpnes i Office 2003 eller Office 2007.

Ifølge Microsoft skyldes sårbarheten en feil som fører til korrumpering av minnet når MSXML forsøker å få tilgang til et objekt i minne som ikke har blitt initiert. Dette kan utnyttes av en angriper til å kjøre kode i samme kontekst som den innloggede brukeren.

Microsoft har foreløpig ikke avgjort om sikkerhetsfiksen skal gis ut som en ekstraordinær eller en rutinemessig oppdatering. Er det siste tilfellet, kommer fiksen første den 10. juli.

Syv sikkerhetsoppdateringer

Sårbarhetene som Microsoft faktisk har fått fjernet med de nye sikkerhetsoppdateringene, berører henholdsvis Windows XP og nyere, Internet Explorer 6 og nyere, .NET Framework, Lync og Dynamics AX. Flere av sårbarhetene kan åpne for fjernkjøring av vilkårlig kode.

Blant sårbarhetene som fjernes i Internet Explorer, er sårbarheten som ble brukt av VUPEN i hackerkonkurransen Pwn2Own i mars i år. Dette opplyser Wolfgang Kandek, teknisk direktør i Qualys, som skal være kjent med prosessen. Microsoft takker her VUPEN og Pwn2Own-arrangør TippingPoint's Zero Day Initiative for bidraget.

Sikkerhetsoppdateringene fra Microsoft installeres via Windows Update.

    Les også:

Til toppen