Microsoft tetter flere Windows-sårbarheter

Som planlagt publiserte Microsoft i går sikkerhetsfikser som tetter flere kjente hull i Windows, i tillegg til et helt nytt.

Harald BrombachHarald Brombach– Journalist
12. jan. 2005 - 10:24

Microsoft har omsider tettet sårbarhetene i Internet Explorer som skyldes en feil i begrensningen av sikkerhetssoner, slik at en integrert HTML Help-kontroll i for eksempel en ondsinnet webside som referere til en spesielt utformet indeksfil (.hhk), kan kjøre lokale HTML-dokumenter. Informasjon om disse sårbarhetene ble offentliggjort allerede i oktober.

Derimot har selskapet tilsynelatende ikke greid å fikse sikkerhetsproblemet som skyldes utilstrekkelig validering av "drag and drop"-handlinger fra sikkerhetssonen "Internet" til lokale ressurser for gyldige bilder og mediefiler med integrert HTML-kode. Informasjon om dette sikkerhetshullet ble publisert samtidig som informasjonen om de to HTML Help-sårbarhetene.

Sårbarhetene er blitt kategorisert som meget kritiske av Secunia.

I slutten av desember meldte en person med kallenavnet Flashsky om flere sårbarheter i Windows, som kan utnyttes av ondsinnede personer til å kompromittere et sårbart system eller forårsake tjenestenektangrep (DoS).

To av de tre sårbarhetene skal nå være tettet, men ifølge Secunia gjenstår en sårbarhet som skyldes overflytsfeil i heap og en heltallsbuffer i "winhlp32.exe" under håndteringen av HLP-filer. Dette skal kunne utnyttes gjennom spesielt utformede HLP-filer.

Sårbarhetene eksisterte i alle Windows-utgaver fra og med Windows NT og Windows 98. Microsoft har publisert en sikkerhetsfiks også til disse versjonene av operativsystemet.

Det tredje og siste sikkerhetsvarselet gjelder en ny sårbarhet i Windows XP og Windows Server 2003. Denne skal kunne utnyttes av ondsinnede personer til å kompromittere et sårbart system.

Sårbarheten skyldes ifølge Secunia en ikke-kontrollert buffer i indekseringstjenesten. Dette kan utnytte til å kjøre vilkårlig kode gjennom en ondsinnet forespørsel. Sårbarheten regnes som kritisk fordi indekseringstjenesten kan konfigureres til å være tilgjengelig via webserveren IIS (Internet Information Services).

Alle oppdateringene skal kunne lastes ned via Microsofts Windows Update-tjeneste.

Microsofts veiledninger om sårbarhetene og oppdateringene finnes her, her og her.

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra