Microsoft: Farlige sikkerhedsbrister i din Windows

19 fejl rettes med denne måneds sikkerhedsopdateringer fra Microsoft i Windows, Internet Explorer 9, Excel og .Net.

Artikel top billede

Computerworld News Service: Microsoft lukker med denne måneds sikkerhedsopdateringer 19 sårbarheder i Windows, Internet Explorer 9, Excel og udviklings-frameworket .Net.

Blandt dem er fire sikkerhedshuller i det netop lancerede Windows 8 og varianten til tablets, Windows RT.

Af månedens seks sikkerhedsbulletiner kategoriseres fire som kritiske, hvilket er Microsofts højeste trusselskategori, mens de resterende to kategoriseres som henholdsvis vigtig og moderat.

Af de 19 sårbarheder, der lukkes, kategoriseres syv som kritiske.

Denne bør du installere først

"IE9-opdateringen er den, der bør installeres først," kommenterer Andrew Storms, der er sikkerhedschef hos nCircle Security.

"Det er en drive-by," tilføjer han med henvisning til en metode, der betyder, at hackerne blot skal lokke brugerne til at besøge et skadeligt websted.

Gør man det med Internet Explorer 9 uden denne sikkerhedsrettelse, kan det uden videre resultere i, at ens pc med Windows 7 eller Vista bliver kapret.

Internet Explorer 9 kan kun køre på disse to versioner af Windows.

Ingen andre versioner af Microsofts browser, heller ikke den nye Internet Explorer 10, er påvirket af MS12-071.

Internet Explorer 10 er indbygget i Windows 8 og Windows RT og udkom i går i en såkaldt release preview-version til Windows 7.

Storm anbefaler, at man placerer installationen af MS12-075 som nummer to på sin opgaveliste.

Denne opdatering lukker tre sårbarheder i Windows kernel mode-drivere, hvoraf én kategoriseres som kritisk.

Det drejer sig om en fejl i styresystemets behandling af TrueType-fonte, som ifølge Storms dog kun kan udnyttes af meget målrettede hackere.

"På trods af at det ser alvorligt ud, så er det ikke særlig realistisk at forvente at se fungerende udnyttelser," lyder vurderingen fra Storms.

Mange kriterier skal opfyldes

Han henviser til en lang række kriterier, der skal opfyldes for et succesfuldt angreb, heriblandt er det nødvendigt at forfalske en proxy-server.

Microsoft giver selv denne fejl værdien "2" på sit Exploitability Index, der beskriver selskabets vurdering af, hvor sandsynligt det er, at en given sårbarhed faktisk vil blive udnyttet.

"Det ville være svært at bygge en exploit-kode," skriver Microsoft om TrueType Font Parsing-sårbarheden.

Dermed er Microsofts og Storms' vurdering på linje.

Denne sårbarhed blev rapporteret til Microsoft via Googles dusørprogram for fejlfinding.

Sidst i september udbetalte Google cirka 29.000 kroner til to sikkerhedseksperter for at have fundet denne sårbarhed.

Fire af de 19 rettede fejl er i Windows 8 og Windows RT. Tre af dem er kritiske og den fjerde kategoriseres som vigtig.

De to kritiske fejl i bulletinen MS12-072 påvirker Windows 8 og tablet-varianten Windows RT, ligesom TrueType-sårbarheden i MS12-075 og en af sårbarhederne i MS12-074, som retter alle versioner af frameworket .Net.

"Jeg er sikker på, at Microsoft er skuffet over at have udgivet Windows 8 sidst i oktober og allerede have udgivet rettelser til det," bemærker Storms.

"Men for at sige det som det er, så er der blevet genbrugt megen kode, så det bør ikke overraske, at der kommer fejlrettelser til Windows 8. På trods af al den snak om, at de nyeste platforme er de sikreste, så vil der stadig blive fundet fejl, som skal rettes."

Oversat af Thomas Bøndergaard

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S