Microsoft: Kritiske sikkerhedshuller i Office

Nye kritiske sårbarheder gør vedhæftede filer i spam ekstra farlige. Se her hvilke dokumentformater, du skal være særlig opmærksom på.

Artikel top billede

Computerworld News Service: Fire ud af de seks sikkerhedsbulletiner, som Microsoft har offentliggjort i forbindelse med den kommende Patch Tuesday, beskriver kritiske sikkerhedsopdateringer.

Én af sårbarhederne er allerede mål for et angreb i omløb.

Sikkerhedsbulletinen MS12-027 beskriver en kritisk sårbarhed i Microsoft Office i alle versioner fra 2003 til 2010 - på nær 64-bit versionen af Office 2010 - og kan udnyttes af angreb, der er indlejret i dokumenter i rich text format (RTF).

Teknologichef Wolfgang Kandek fra Qualys fortæller, at der er konstateret et indtil videre begrænset antal faktiske angreb mod denne sårbarhed.

Nu hvor information om sårbarheden er offentlig tilgængelig, vil det dog ikke vare længe, før der sker en stigning i angrebene mod denne sårbarhed, vurderer han.

Lidt uhyggelig

Jason Miller, der er chef for analyse og udvikling hos VMware, synes, at sårbarheden, der beskrives i MS12-027, "er lidt uhyggelig," fordi den også berører SQL Server og udviklingsværktøjer såsom Visual Basic og Visual FoxPro og sandsynligvis vil blive brugt i spam-angreb.

Med henvisning til den seneste tids i stigende grad luskede spam-angreb, som er blevet væsentligt mere avancerede end de velkendte falske reklamer for designersmykker og potensmedicin, advarer Miller, at selv om man er meget påpasselig med hvilke e-mails, man åbner, så kan man risikere at falde for et angreb, der udnytter denne RTF-exploit.

"Jeg er ked af at sige det, men spammerne var tidligere ikke særligt kreative i deres arbejde," siger Miller.

"Men kaster man et blik på den spam, der er i omløb nu, så udgiver den sig for at være ting som bekræftelses-e-mail fra Delta Air Lines eller beskeder fra UPS, der hævder at have afleveret en pakke hjemme hos dig og at du i den forbindelse blot skal åbne et dokument for at bekræfte modtagelsen. Så de bliver altså mere og mere snedige i forhold til at lokke folk til at åbne disse vedhæftede skadelige filer."

Her skal administratorerne være særligt opmærksomme

Miller opfordrer desuden Microsofts kunder til at behandle en anden af de seks sikkerhedsopdateringer lige så alvorligt som MS12-027.

En af grundene til som administrator at være særlig opmærksom på MS12-023 er, at den retter en kritisk sårbarhed i browsere, som anvendes af slutbrugere, der ikke nødvendigvis selv er specielt opmærksomme på sikkerhedsmæssige problemstillinger, påpeger Miller.

Vigtigt mål for folk

Desuden er der stor sandsynlighed for, at denne sårbarhed vil blive udnyttet inden for de næste 30 dage, hvilket antydes af dens bedømmelse som kategori 1 på Microsofts såkaldte Exploitability Index.

"Den bliver et vigtigt mål for folk. Rettelsen af denne sårbarhed bør uden tvivl stå øverst på listen over hvilke sikkerhedsopdateringer, der skal udrulles," opfordrer Miller.

"Mange af de sårbarheder, der rettes i denne omgang, er drive by-scenarier, så der vil sandsynligvis opstå en del skadelige websites."

MS12-023 lukker en sårbarhed i Internet Explorer i alle versioner fra 6 til 9 og udkommer endda før sikkerhedsopdateringen af den sårbarhed, der blev offentliggjort i sidste måned ved hackerkonferencen CanSecWest Pwn2Own.

Yderligere to af de kommende seks sikkerhedsopdateringer lukker kritiske sårbarheder i Windows og .Net-frameworket, der gør det muligt at eksekvere kode via fjernadgang.

De sidste to sikkerhedsopdateringer vurderes som vigtige og lukker sårbarheder i Office og Forefront Unified Access Gateway.

Med disse seks sikkerhedsbulletiner er Microsoft indtil videre i år oppe på 28.

Til sammenligning udgav selskabet 34 sikkerhedsbulletiner i de første fire måneder af 2011, hvoraf halvdelen udkom i april.

Oversat af Thomas Bøndergaard

Event: Computerworld Cloud & AI Festival 2026

Digital transformation | Ballerup

Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

16 & 17 september 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

Lauren De Ventura

emagine Expertise A/S