Microsoft: Farlige sikkerhedsbrister i din Windows

19 fejl rettes med denne måneds sikkerhedsopdateringer fra Microsoft i Windows, Internet Explorer 9, Excel og .Net.

Artikel top billede

Computerworld News Service: Microsoft lukker med denne måneds sikkerhedsopdateringer 19 sårbarheder i Windows, Internet Explorer 9, Excel og udviklings-frameworket .Net.

Blandt dem er fire sikkerhedshuller i det netop lancerede Windows 8 og varianten til tablets, Windows RT.

Af månedens seks sikkerhedsbulletiner kategoriseres fire som kritiske, hvilket er Microsofts højeste trusselskategori, mens de resterende to kategoriseres som henholdsvis vigtig og moderat.

Af de 19 sårbarheder, der lukkes, kategoriseres syv som kritiske.

Denne bør du installere først

"IE9-opdateringen er den, der bør installeres først," kommenterer Andrew Storms, der er sikkerhedschef hos nCircle Security.

"Det er en drive-by," tilføjer han med henvisning til en metode, der betyder, at hackerne blot skal lokke brugerne til at besøge et skadeligt websted.

Gør man det med Internet Explorer 9 uden denne sikkerhedsrettelse, kan det uden videre resultere i, at ens pc med Windows 7 eller Vista bliver kapret.

Internet Explorer 9 kan kun køre på disse to versioner af Windows.

Ingen andre versioner af Microsofts browser, heller ikke den nye Internet Explorer 10, er påvirket af MS12-071.

Internet Explorer 10 er indbygget i Windows 8 og Windows RT og udkom i går i en såkaldt release preview-version til Windows 7.

Storm anbefaler, at man placerer installationen af MS12-075 som nummer to på sin opgaveliste.

Denne opdatering lukker tre sårbarheder i Windows kernel mode-drivere, hvoraf én kategoriseres som kritisk.

Det drejer sig om en fejl i styresystemets behandling af TrueType-fonte, som ifølge Storms dog kun kan udnyttes af meget målrettede hackere.

"På trods af at det ser alvorligt ud, så er det ikke særlig realistisk at forvente at se fungerende udnyttelser," lyder vurderingen fra Storms.

Mange kriterier skal opfyldes

Han henviser til en lang række kriterier, der skal opfyldes for et succesfuldt angreb, heriblandt er det nødvendigt at forfalske en proxy-server.

Microsoft giver selv denne fejl værdien "2" på sit Exploitability Index, der beskriver selskabets vurdering af, hvor sandsynligt det er, at en given sårbarhed faktisk vil blive udnyttet.

"Det ville være svært at bygge en exploit-kode," skriver Microsoft om TrueType Font Parsing-sårbarheden.

Dermed er Microsofts og Storms' vurdering på linje.

Denne sårbarhed blev rapporteret til Microsoft via Googles dusørprogram for fejlfinding.

Sidst i september udbetalte Google cirka 29.000 kroner til to sikkerhedseksperter for at have fundet denne sårbarhed.

Fire af de 19 rettede fejl er i Windows 8 og Windows RT. Tre af dem er kritiske og den fjerde kategoriseres som vigtig.

De to kritiske fejl i bulletinen MS12-072 påvirker Windows 8 og tablet-varianten Windows RT, ligesom TrueType-sårbarheden i MS12-075 og en af sårbarhederne i MS12-074, som retter alle versioner af frameworket .Net.

"Jeg er sikker på, at Microsoft er skuffet over at have udgivet Windows 8 sidst i oktober og allerede have udgivet rettelser til det," bemærker Storms.

"Men for at sige det som det er, så er der blevet genbrugt megen kode, så det bør ikke overraske, at der kommer fejlrettelser til Windows 8. På trods af al den snak om, at de nyeste platforme er de sikreste, så vil der stadig blive fundet fejl, som skal rettes."

Oversat af Thomas Bøndergaard

Læses lige nu

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job