Artikel top billede

Fejl i udviklerbibliotek er et stort problem

Bug i udviklerbibliotek har spredt sårbarheder til et ukendt antal ActiveX-kontroller udviklet af små og store softwarehuse.

Microsoft har repareret seks sårbarheder i Internet Explorer og Visual Studio med den første ikke-planlagte sikkerhedsopdatering siden oktober, hvor Conficker-ormen skabte ravage.

Den ene opdatering, MS09-034, retter tre "kritiske" sårbarheder i Internet Explorer, mens den anden opdatering, MS09-035, retter tre "moderate" sårbarheder i Active Template Library (ATL), som anvendes af Visual Studio.

Fejl i udviklerbibliotek spredt

De tre "moderate" sårbarheder i ATL er paradoksalt nok den største trussel.

Det skyldes, at ATL anvendes af Microsoft og et ukendt antal store og små softwarehuse til at udvikle ActiveX-kontroller.

Et library som ATL indeholder færdigkodede funktioner, som udviklere kan anvende i deres egen software.

En bug i ATL betyder, at udviklerens færdige softwareprodukt - en ActiveX-kontrol eller en .dll-fil - også kan indeholde fejlen

"En library-sårbarhed er en kompleks problemstilling, som kræver vidstpændende foranstaltninger at håndtere," siger Mike Reavey, direktør for Microsoft's Security Response Center (MSRC).

"Library-problemer er svære at håndtere og kræver en masse samarbejde for at blive løst..."

Udviklere skal checke deres kontroller

Microsoft opfordrer da også udviklere til at checke deres kode.

"Microsoft anbefaler på det kraftigste, at udviklere som har bygget kontroller eller komponenter med ATL, omgående evaluerer hvorvidt deres kontroller er sårbare og følger vejledningen til at udvikle kontroller og komponenter som ikke er sårbare," skriver Microsoft i et usædvanlig ekstra medfølgende sikkerhedsråd hvor risici for udviklere, IT-profesionelle og forbrugere beskrives.

Patchen til Internet Explorer blokerer ifølge Microsoft alle kendte sårbarheder.

"MS09-034 blokerer alle kendte angreb mens de (sårbare kontroller og komponenter) opdateres af deres udviklere," siger Mike Reavey til IDG News Service.

IE-patch blokerer kendte sårbarheder

Mike Reavey indrømmer, at Internet Explorer-patchen ikke blokerer alle sårbare ActiveX-kontroller, men i stedet for checkes det, om kontrollerne anvender specifikke metoder som forårsager sårbarheder. Kontroller som anvender de metoder blokeres.

Den forsvarsmekanisme beskrives kun vagt af Microsoftsom kalder det en "ny dybdegående forsvarsteknologi (defense-in-depth) teknologi."

Microsoft har hidtil anvendt en killbit-mekanisme til at deaktivere sårbare ActiveX-kontroller. Som rapporteret i Computerworld i går, er det dog muligt at omgå killbit-mekanismen.

Ifølge Microsofts ekstra sikkerhedsmelding er muligheden for at omgå killbit-mekanismen ikke længere til stede med IE-patchen.

Microsoft er igang med at undersøge hvilke af virksomhedens mange softwarekomponenter og - kontroller, der anvender det fejlbehæftede library.

Opdateringerne kan downloades og installeres via Microsoft Update og Windows Update services samt Windows Server Update Services.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere