Microsoft: Farlige sikkerhedsbrister i din Windows

19 fejl rettes med denne måneds sikkerhedsopdateringer fra Microsoft i Windows, Internet Explorer 9, Excel og .Net.

Artikel top billede

Computerworld News Service: Microsoft lukker med denne måneds sikkerhedsopdateringer 19 sårbarheder i Windows, Internet Explorer 9, Excel og udviklings-frameworket .Net.

Blandt dem er fire sikkerhedshuller i det netop lancerede Windows 8 og varianten til tablets, Windows RT.

Af månedens seks sikkerhedsbulletiner kategoriseres fire som kritiske, hvilket er Microsofts højeste trusselskategori, mens de resterende to kategoriseres som henholdsvis vigtig og moderat.

Af de 19 sårbarheder, der lukkes, kategoriseres syv som kritiske.

Denne bør du installere først

"IE9-opdateringen er den, der bør installeres først," kommenterer Andrew Storms, der er sikkerhedschef hos nCircle Security.

"Det er en drive-by," tilføjer han med henvisning til en metode, der betyder, at hackerne blot skal lokke brugerne til at besøge et skadeligt websted.

Gør man det med Internet Explorer 9 uden denne sikkerhedsrettelse, kan det uden videre resultere i, at ens pc med Windows 7 eller Vista bliver kapret.

Internet Explorer 9 kan kun køre på disse to versioner af Windows.

Ingen andre versioner af Microsofts browser, heller ikke den nye Internet Explorer 10, er påvirket af MS12-071.

Internet Explorer 10 er indbygget i Windows 8 og Windows RT og udkom i går i en såkaldt release preview-version til Windows 7.

Storm anbefaler, at man placerer installationen af MS12-075 som nummer to på sin opgaveliste.

Denne opdatering lukker tre sårbarheder i Windows kernel mode-drivere, hvoraf én kategoriseres som kritisk.

Det drejer sig om en fejl i styresystemets behandling af TrueType-fonte, som ifølge Storms dog kun kan udnyttes af meget målrettede hackere.

"På trods af at det ser alvorligt ud, så er det ikke særlig realistisk at forvente at se fungerende udnyttelser," lyder vurderingen fra Storms.

Mange kriterier skal opfyldes

Han henviser til en lang række kriterier, der skal opfyldes for et succesfuldt angreb, heriblandt er det nødvendigt at forfalske en proxy-server.

Microsoft giver selv denne fejl værdien "2" på sit Exploitability Index, der beskriver selskabets vurdering af, hvor sandsynligt det er, at en given sårbarhed faktisk vil blive udnyttet.

"Det ville være svært at bygge en exploit-kode," skriver Microsoft om TrueType Font Parsing-sårbarheden.

Dermed er Microsofts og Storms' vurdering på linje.

Denne sårbarhed blev rapporteret til Microsoft via Googles dusørprogram for fejlfinding.

Sidst i september udbetalte Google cirka 29.000 kroner til to sikkerhedseksperter for at have fundet denne sårbarhed.

Fire af de 19 rettede fejl er i Windows 8 og Windows RT. Tre af dem er kritiske og den fjerde kategoriseres som vigtig.

De to kritiske fejl i bulletinen MS12-072 påvirker Windows 8 og tablet-varianten Windows RT, ligesom TrueType-sårbarheden i MS12-075 og en af sårbarhederne i MS12-074, som retter alle versioner af frameworket .Net.

"Jeg er sikker på, at Microsoft er skuffet over at have udgivet Windows 8 sidst i oktober og allerede have udgivet rettelser til det," bemærker Storms.

"Men for at sige det som det er, så er der blevet genbrugt megen kode, så det bør ikke overraske, at der kommer fejlrettelser til Windows 8. På trods af al den snak om, at de nyeste platforme er de sikreste, så vil der stadig blive fundet fejl, som skal rettes."

Oversat af Thomas Bøndergaard

Event: Cyber Security Festival 2026

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

18 & 19 november 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

TDC Erhverv har pr. 1. maj 2026 ansat Peter Bjerregaard Harden som Senior Vice President (SVP), Enterprise Sales. Peter skal især beskæftige sig med at drive transformationen mod at blive en førende, kundecentreret partner inden for Cloud, Cyber og integrerede ICT-løsninger. Peter kommer fra en stilling som Country Manager hos Google Cloud Danmark. Peter er uddannet Cand. Merc (AU), HD, Organisation og Ledelse (CBS), Bestyrelsesuddannelse (CBS). Peter har tidligere beskæftiget sig med at opbygge Google Cloud i Danmark samt roller hos Microsoft, Salesforce og i management consulting. Nyt job
IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

Lasse Hounsgaard

IFS Danmark A/S

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S

Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse