Computerworld News Service: Microsoft lukker med denne måneds sikkerhedsopdateringer 19 sårbarheder i Windows, Internet Explorer 9, Excel og udviklings-frameworket .Net.
Blandt dem er fire sikkerhedshuller i det netop lancerede Windows 8 og varianten til tablets, Windows RT.
Af månedens seks sikkerhedsbulletiner kategoriseres fire som kritiske, hvilket er Microsofts højeste trusselskategori, mens de resterende to kategoriseres som henholdsvis vigtig og moderat.
Af de 19 sårbarheder, der lukkes, kategoriseres syv som kritiske.
Denne bør du installere først
"IE9-opdateringen er den, der bør installeres først," kommenterer Andrew Storms, der er sikkerhedschef hos nCircle Security.
"Det er en drive-by," tilføjer han med henvisning til en metode, der betyder, at hackerne blot skal lokke brugerne til at besøge et skadeligt websted.
Gør man det med Internet Explorer 9 uden denne sikkerhedsrettelse, kan det uden videre resultere i, at ens pc med Windows 7 eller Vista bliver kapret.
Internet Explorer 9 kan kun køre på disse to versioner af Windows.
Ingen andre versioner af Microsofts browser, heller ikke den nye Internet Explorer 10, er påvirket af MS12-071.
Internet Explorer 10 er indbygget i Windows 8 og Windows RT og udkom i går i en såkaldt release preview-version til Windows 7.
Storm anbefaler, at man placerer installationen af MS12-075 som nummer to på sin opgaveliste.
Denne opdatering lukker tre sårbarheder i Windows kernel mode-drivere, hvoraf én kategoriseres som kritisk.
Det drejer sig om en fejl i styresystemets behandling af TrueType-fonte, som ifølge Storms dog kun kan udnyttes af meget målrettede hackere.
"På trods af at det ser alvorligt ud, så er det ikke særlig realistisk at forvente at se fungerende udnyttelser," lyder vurderingen fra Storms.
Mange kriterier skal opfyldes
Han henviser til en lang række kriterier, der skal opfyldes for et succesfuldt angreb, heriblandt er det nødvendigt at forfalske en proxy-server.
Microsoft giver selv denne fejl værdien "2" på sit Exploitability Index, der beskriver selskabets vurdering af, hvor sandsynligt det er, at en given sårbarhed faktisk vil blive udnyttet.
"Det ville være svært at bygge en exploit-kode," skriver Microsoft om TrueType Font Parsing-sårbarheden.
Dermed er Microsofts og Storms' vurdering på linje.
Denne sårbarhed blev rapporteret til Microsoft via Googles dusørprogram for fejlfinding.
Sidst i september udbetalte Google cirka 29.000 kroner til to sikkerhedseksperter for at have fundet denne sårbarhed.
Fire af de 19 rettede fejl er i Windows 8 og Windows RT. Tre af dem er kritiske og den fjerde kategoriseres som vigtig.
De to kritiske fejl i bulletinen MS12-072 påvirker Windows 8 og tablet-varianten Windows RT, ligesom TrueType-sårbarheden i MS12-075 og en af sårbarhederne i MS12-074, som retter alle versioner af frameworket .Net.
"Jeg er sikker på, at Microsoft er skuffet over at have udgivet Windows 8 sidst i oktober og allerede have udgivet rettelser til det," bemærker Storms.
"Men for at sige det som det er, så er der blevet genbrugt megen kode, så det bør ikke overraske, at der kommer fejlrettelser til Windows 8. På trods af al den snak om, at de nyeste platforme er de sikreste, så vil der stadig blive fundet fejl, som skal rettes."
Oversat af Thomas Bøndergaard
