Artikel top billede

Microsoft: Farlige sikkerhedsbrister i din Windows

19 fejl rettes med denne måneds sikkerhedsopdateringer fra Microsoft i Windows, Internet Explorer 9, Excel og .Net.

Computerworld News Service: Microsoft lukker med denne måneds sikkerhedsopdateringer 19 sårbarheder i Windows, Internet Explorer 9, Excel og udviklings-frameworket .Net.

Blandt dem er fire sikkerhedshuller i det netop lancerede Windows 8 og varianten til tablets, Windows RT.

Af månedens seks sikkerhedsbulletiner kategoriseres fire som kritiske, hvilket er Microsofts højeste trusselskategori, mens de resterende to kategoriseres som henholdsvis vigtig og moderat.

Af de 19 sårbarheder, der lukkes, kategoriseres syv som kritiske.

Denne bør du installere først

"IE9-opdateringen er den, der bør installeres først," kommenterer Andrew Storms, der er sikkerhedschef hos nCircle Security.

"Det er en drive-by," tilføjer han med henvisning til en metode, der betyder, at hackerne blot skal lokke brugerne til at besøge et skadeligt websted.

Gør man det med Internet Explorer 9 uden denne sikkerhedsrettelse, kan det uden videre resultere i, at ens pc med Windows 7 eller Vista bliver kapret.

Internet Explorer 9 kan kun køre på disse to versioner af Windows.

Ingen andre versioner af Microsofts browser, heller ikke den nye Internet Explorer 10, er påvirket af MS12-071.

Internet Explorer 10 er indbygget i Windows 8 og Windows RT og udkom i går i en såkaldt release preview-version til Windows 7.

Storm anbefaler, at man placerer installationen af MS12-075 som nummer to på sin opgaveliste.

Denne opdatering lukker tre sårbarheder i Windows kernel mode-drivere, hvoraf én kategoriseres som kritisk.

Det drejer sig om en fejl i styresystemets behandling af TrueType-fonte, som ifølge Storms dog kun kan udnyttes af meget målrettede hackere.

"På trods af at det ser alvorligt ud, så er det ikke særlig realistisk at forvente at se fungerende udnyttelser," lyder vurderingen fra Storms.

Mange kriterier skal opfyldes

Han henviser til en lang række kriterier, der skal opfyldes for et succesfuldt angreb, heriblandt er det nødvendigt at forfalske en proxy-server.

Microsoft giver selv denne fejl værdien "2" på sit Exploitability Index, der beskriver selskabets vurdering af, hvor sandsynligt det er, at en given sårbarhed faktisk vil blive udnyttet.

"Det ville være svært at bygge en exploit-kode," skriver Microsoft om TrueType Font Parsing-sårbarheden.

Dermed er Microsofts og Storms' vurdering på linje.

Denne sårbarhed blev rapporteret til Microsoft via Googles dusørprogram for fejlfinding.

Sidst i september udbetalte Google cirka 29.000 kroner til to sikkerhedseksperter for at have fundet denne sårbarhed.

Fire af de 19 rettede fejl er i Windows 8 og Windows RT. Tre af dem er kritiske og den fjerde kategoriseres som vigtig.

De to kritiske fejl i bulletinen MS12-072 påvirker Windows 8 og tablet-varianten Windows RT, ligesom TrueType-sårbarheden i MS12-075 og en af sårbarhederne i MS12-074, som retter alle versioner af frameworket .Net.

"Jeg er sikker på, at Microsoft er skuffet over at have udgivet Windows 8 sidst i oktober og allerede have udgivet rettelser til det," bemærker Storms.

"Men for at sige det som det er, så er der blevet genbrugt megen kode, så det bør ikke overraske, at der kommer fejlrettelser til Windows 8. På trods af al den snak om, at de nyeste platforme er de sikreste, så vil der stadig blive fundet fejl, som skal rettes."

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere


Internationale dataoverførsler: Bananrepublikker og spionage

Det er nu lovpligtigt at dokumentere beskyttelsesniveauet af persondata, når de overføres til tredjelande. Vi sætter derfor fokus på, hvordan virksomhederne styrer deres internationale dataoverførsler fri af tredjelandes overvågning. Vi dykker samtidig ned i hele det spegede kompleks omkring Schrems II, FISA 702 og EO 12.333, og hvordan det spiller sammen med dansk fortolkning og praksis.

25. maj 2021 | Læs mere


Empower your SAP

In this inspiring webinar you can get more information on how you can accelerate your cloud transformation and migration to SAP S/4HANA. We will present typical challenges of migrating to the cloud and transforming your SAP environments, while giving you insights on how to tackle the obstacles, including how T-Systems can help define and accelerate a digital roadmap for your SAP journey.

26. maj 2021 | Læs mere






Premium
Deloitte køber dansk SAP-specialist: "Opkøbet manifesterer vores ambitioner om at stå stærkt på SAP-agendaen"
Konsulentvirksomheden Deloitte køber den danske SAP-virksomhed Syncronic. Opkøbet er en del af en større strategi for Deloitte om at sætte sig massivt på det nordiske SAP-marked.
Computerworld
Bombe under Amazon og Wish-shopping: Millioner af danskere risikerer ekstra gebyr
Nye toldregler fjerner snart bagatelgrænse for handel udenfor EU – en skærpelse, der gør at over tre millioner danske nethandlende kan se frem til en ekstraregning.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Er de cyberkriminelle allerede trængt ind – uden at du har opdaget det?
Optimér din sikkerhed ved at kombinere indsatsen for at holde IT-kriminelle ude med en konstant antagelse om, at de muligvis allerede er trængt ind på dit netværk.