Microsoft har omsider tettet sårbarhetene i Internet Explorer som skyldes en feil i begrensningen av sikkerhetssoner, slik at en integrert HTML Help-kontroll i for eksempel en ondsinnet webside som referere til en spesielt utformet indeksfil (.hhk), kan kjøre lokale HTML-dokumenter. Informasjon om disse sårbarhetene ble offentliggjort allerede i oktober.
Derimot har selskapet tilsynelatende ikke greid å fikse sikkerhetsproblemet som skyldes utilstrekkelig validering av "drag and drop"-handlinger fra sikkerhetssonen "Internet" til lokale ressurser for gyldige bilder og mediefiler med integrert HTML-kode. Informasjon om dette sikkerhetshullet ble publisert samtidig som informasjonen om de to HTML Help-sårbarhetene.
Sårbarhetene er blitt kategorisert som meget kritiske av Secunia.
I slutten av desember meldte en person med kallenavnet Flashsky om flere sårbarheter i Windows, som kan utnyttes av ondsinnede personer til å kompromittere et sårbart system eller forårsake tjenestenektangrep (DoS).
To av de tre sårbarhetene skal nå være tettet, men ifølge Secunia gjenstår en sårbarhet som skyldes overflytsfeil i heap og en heltallsbuffer i "winhlp32.exe" under håndteringen av HLP-filer. Dette skal kunne utnyttes gjennom spesielt utformede HLP-filer.
Sårbarhetene eksisterte i alle Windows-utgaver fra og med Windows NT og Windows 98. Microsoft har publisert en sikkerhetsfiks også til disse versjonene av operativsystemet.
Det tredje og siste sikkerhetsvarselet gjelder en ny sårbarhet i Windows XP og Windows Server 2003. Denne skal kunne utnyttes av ondsinnede personer til å kompromittere et sårbart system.
Sårbarheten skyldes ifølge Secunia en ikke-kontrollert buffer i indekseringstjenesten. Dette kan utnytte til å kjøre vilkårlig kode gjennom en ondsinnet forespørsel. Sårbarheten regnes som kritisk fordi indekseringstjenesten kan konfigureres til å være tilgjengelig via webserveren IIS (Internet Information Services).
Alle oppdateringene skal kunne lastes ned via Microsofts Windows Update-tjeneste.
Microsofts veiledninger om sårbarhetene og oppdateringene finnes her, her og her.
