Microsoft kom i går med to sikkerhetsoppdateringer til Windows. Den ene anses for å være kritisk og fjerner to sårbarheter fra Microsoft Data Access Components. Begge åpner for fjernkjøring av vilkårlig kode ved å lokke en bruker til å besøke en spesielt utformet webside. Koden kan kjøres med de samme privilegier som det den innloggede brukeren har.
Den tredje sårbarheten som nå blir fjernet, finnes i Windows Backup Manager. Også denne åpner for fjernkjøring av vilkårlig kode, men anses likevel ikke for å være kritisk.
Sårbarheten kan utnyttes ved at en bruker åpner en gyldig Windows Backup Manager-fil som finnes i den samme nettverksmappen eller WebDAV-mappen som en ondsinnet bibliotekfil. Dersom bibliotekfilen har et navn som Windows Backup Manager ser etter, vil denne filen lastes.
Dette bibliotekproblemet har berørt en rekke applikasjoner og innebygde Windows-verktøy siden det ble allment kjent i fjor sommer.
I tillegg til disse tre sårbarhetene, finnes ytterlige minst fem sårbarheter som kjent for Microsoft, men som selskapet ikke har rukket å fikse ennå. En oversikt finnes på denne siden. Microsoft har bekreftet at minst én av sårbarhetene, som berører Internet Explorer, nå utsettes aktivt i begrensede angrep.
Listen til Microsoft omfatter ellers en allerede omtalt sårbarhet oppdaget av en Google-ansett sikkerhetsforsker allerede i sommer, en sårbarhet i FTP-serveren til IIS, en sårbarhet i Windows Graphics Rendering Engine hvor konseptkoden ble offentliggjort denne uken, og en ActiveX-relatert sårbarhet i WMI Administrative Toolkit, et lite brukt verktøysett.
Sikkerhetseksperter som Cnet News har vært i kontakt, med mener at det er sårbarhetene som ennå ikke har blitt fjernet, som er de mest interessante. Ikke minst gjelder dette CSS-sårbarheten i Internet Explorer.
– Istedenfor å snakke om antallet sårbarheter som har blitt fjernet i dag, er alles oppmerksomhet rettet mot de fem sårbarhetene som ikke har blitt patchetm, sier Andrew Storms, direktør for sikkerhetsvirksomheten til Ncircle.
Det er ikke kjent om Microsoft vil fjerne noen av sårbarhetene ekstraordinære sikkerhetsoppdateringer, eller om selskapet vil vente med å utgi disse til neste patchetirsdag, altså om en måned.
Selskapet har dog gitt ut en midlertidig fiks til CSS-sårbarheten i IE. Den fjerner støtten for rekursiv lasting av CSS-filer i nettleseren. Dette er i støtten for slik lasting av sårbarheten finnes. Problemet med denne løsningen er at rekursiv lasting av CSS-filer også benyttes av mange legitime nettsteder. Deaktiverer man støtten for dette, vil ikke hele stilsettet til de aktuelle websidene bli lastet.
Les også:
- [07.02.2011] Microsoft lapper velkjent IE-hull
- [05.01.2011] Google blottla detaljer om IE-sårbarhet
- [14.12.2010] Enda en CSS-sårbarhet funnet i IE
- [10.12.2010] Microsoft skal lappe 40 sikkerhetshull
- [04.11.2010] Ekstremt kritisk CSS-feil i IE
- [25.08.2010] Slik blir DLL-sårbarheten utnyttet
- [20.08.2010] Windows-feil rammer minst 200 apps
