Kritisk sikkerhedshul i Windows

Microsoft er rykket ud med en opdatering, der lukker et kritisk sikkerhedshul i alle versioner af Windows siden Windows 98.

Der er tale om et buffer overun (overløbsfejl) i Microsoft´s HTML konverter, som er en standardkomponent i samtlige udgaver af Microsoft Windows. Derfor er alle udgaver af Microsoft Windows sårbare overfor denne svaghed.

Svagheden kunne lede en ondsindet bruger til automatisk afvikling af vilkårlig kode på et ikke opdateret system.

Alle versioner af Microsoft Windows indeholder en konverteringsfunktion, som gør det muligt, at konvertere fra et filformat til et andet. Specifikt optræder denne svaghed i den del af konverteringen, som omhandler HTML. Funktionaliteten gør det muligt, at vise og gemme filer i HTML format.

Svagheden kan misbruges ved at lave en særlig anmodning til HTML konverteren, hvorefter den vil fejle, med risiko for afvikling af vilkårlig kode. Der er tale om det eksperter kalder et klassisk buffer overrun.

Sårbarheden er særligt kritisk, idet koden kan afvikles uden interaktion fra brugeren. Det er dermed muligt, at afvikle ondsindet kode via HTML baseret e-mail, eller hjemmesider, uden at brugeren godkender, eller på anden måde aktiverer koden. Det er omstændigheder som gør det meget sandsynligt, at denne svaghed vil blive udnyttet i automatiseret ondsindet kode, som Internet
baserede e-mail orme, eller anden malware.