En skulle gjerne tro at programvare tåler å ta imot nøyaktig den typen informasjon de er laget for, men slik er det ikke alltid. Veldig mange sårbarheter skyldes at data utformes på måter som programvareutviklerne ikke har tatt hensyn til. Da skjer det at grenser sprenges og åpner for tilganger som ikke burde være der.
Dette er også bakgrunnen for en sårbarhet i Microsoft Exchange 2016 og 2019, som kan fjernes med sikkerhetsoppdateringer som Microsoft gjorde tilgjengelige i går.
Kapres med en epost
Ifølge Microsoft gjør sårbarheten det mulig å fjernkjøre vilkårlig kode på systemet i konteksten av System-brukeren, og dette kan gjøres ved ganske enkelt å sende Exchange-serveren en epost – riktignok en epost som er spesielt utformet for dette formålet. Sårbarheten skyldes at programvaren ikke håndterer visse objekter på en skikkelig måte i systemets minne.
I en omtale av denne og flere andre sikkerhetshull som Microsoft og Adobe nå har kommet med lappesaker til, skriver Dustin Childs hos Zero Day Initiative at det at sårbarheten kan utnyttes via epost er et problem, siden epostmottak tross alt er noe av hovedfunksjonaliteten til Exchange.
– Microsoft lister denne med alvorlighetsgraden Viktig, men det å kunne ta over en Exchange-server ved ganske enkelt å sende den en epost, gjør at den etter min mening hører hjemme i Kritisk-kategorien. Dersom du bruker Exchange, så bør du definitivt legge denne høyt opp test- og utrullinglisten din, skriver Childs.
Mange andre sårbarheter
Total kom Microsoft med rundt sikkerhetsfikser til rundt 50 sårbarheter i går. Disse berører alt fra Visual Studio og Windows Subsystem for Linux, til Edge og Office. Det er også utgitt oppdateringer til blant annet Adobe Flash Player og Skype for Android.
Flash-oppdateringen inneholder for en gangs skyld bare ikke-sikkerhetsrelaterte feilfikser. Skype-oppdateringen fjerner en mulighet til å omgå låseskjermen i Android ved å ringe til mobilen via Skype. En video som demonstrerer dette, finnes her.
De kritiske sårbarhetene denne gang finnes i Microsoft Edge, JavaScript-motoren Chakra, samt i DHCP-klienten og Windows Hyper-V i Windows 10 og Windows Server 2016 og nyere.
Ingen hast
Skype-sårbarheten kan utnyttes av alle som har sett videoen. Derfor bør alle Android-brukere som har Skype installert, oppdatere appen så raskt som mulig. Ingen av de andre sårbarhetene ser ut til å bli utnyttet i aktive angrep, selv om flere av dem er kategorisert som kritiske av Microsoft.
Som digi.no omtalte i går, kan det være gode grunner til å utsette installasjonen av programvareoppdateringer til Windows noen dager etter utgivelsen, inntil de har blitt testet av mange andre.
For de aller fleste vil det derfor være mer enn tilstrekkelig å la Windows Update ta seg av installeringen av oppdateringene helt på egenhånd, uten å framskynde noe. Det kan likevel være fornuftig å utføre en omstart av systemet på et passende tidspunkt, før Windows for alvor begynner å mase om dette.
Les også: Oddvar fant teknikk som kan gi skadevare bedre fotfeste i Windows 10 (Digi ekstra)
