Søg

Microsoft spotter dårlig kode - og udsender 'hemmelig' Windows-opdatering

Microsoft sendte i sidste uge en haste-opdatering afsted til Windows Server. Pakken indeholdt dog også en 'hemmelig' rettelse til firmaets almindelige klienter. Her er forklaringen.

25. november 2014 kl. 08.28
Artikel top billede

(Foto: Liz Welsh, CC BY 2.0)

Nicolai Devantier Nicolai Devantier Journalist

Da Microsoft i sidste uge sendte en hasteopdatering ud til Windows Server, var sikkerhedspakken også forsynet med rettelser til flere versioner af Microsofts klientsystemer, herunder Windows 7, 8 og det kommende version 10.

Du kan læse mere om server-rettelsen her: Microsoft lukker kritisk hul lige nu - hasteudsender rettelse

Men der blev kun oplyst om server-sårbarhederne i den såkaldte sikkerheds-bulletin, der følger med alle opdateringer.

Rettelserne til klientudgaverne blev ikke omtalt med et eneste ord.

AD-tyveri

Hasteudsendelsen understreger naturligvis, at der er tale om en alvorlig sårbarhed i Windows Server.

Hackere var således allerede startet med at udnytte hullet i Windows Server 2008 R2 og tidligere versioner. Derfor lukkede Microsoft hullet uden for normal cyklus.

I server-versionerne betød sårbarheden, at hackere benyttede login-oplysninger fra personer i Active Directory (AD) til at skaffe sig administrator-rettigheder. 

Sikkerhedslappen lukkede en sårbarhed i Windows Kerberos KDC, der er en sikkerhedsfunktion til validering, som man finder på kodevirksomhedens servere.

Den hemmelige rettelse

I oplysningerne for opdateringen var der dog ingen informationer om, at en rettelse til klientversionerne af Windows var med i pakken, som tilfældet var.

Server-sårbarheden, der blev lukket, findes slet ikke i skrivebordsversionerne af firmaets styresystem.

Men opdateringspakken havde alligevel 'hemmelige' opdateringer til Windows Vista, Windows 7, Windows 8, Windows 8.1 og forhåndsudgaven af Windows 10.

En talsmand fra Microsoft forklarer den usynlige opdatering således:

"Da vi arbejdede med rettelsen til Privilege Attribute Certificate (server-sårbarheder, red.), opdagede vi en del ældre kode, som vi ikke var tilfredse med. Teoretisk kunne koden udnyttes i forbindelse med andre angrebstyper," lyder den officielle udtalelse fra Microsoft til PC World i USA.

Og han forklarer videre:

"I vores undersøgelse opdagede vi ikke en direkte sårbarhed til disse platforme, men vi fandt en del kode, der skulle forbedres for at kunne modstå fremtidens sikkerhedsproblemer," skriver kodefabrikken i en mail til PC World.

Læs også:

Her er Microsofts kæmpe-sikkerhedspakke

Kæmpe-opdatering på vej fra Microsoft

Microsoft lukker kritisk hul lige nu - hasteudsender rettelse

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Teknologiens frontløbere i en forandringsfyldt verden

    Annonceindlæg fra Deloitte

    Teknologiens frontløbere i en forandringsfyldt verden

    CIO’erne spiller en centrale rolle i at drive moderne virksomheder fremad i en usikker tid.

    Lindhardt og Ringhof Forlag

    Data Engineer

    Københavnsområdet

    Politiets Efterretningstjeneste

    Databaseadministrator - Vær med til at skabe fremtidens dataplatform hos PET

    Københavnsområdet

    IT-Forsyningen I/S

    It-arkitekt

    Københavnsområdet

    Netcompany A/S

    Microsoft Operations Engineer

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 15. september 2025 ansat Peter Holst Ring Madsen som Systemkonsulent ved netIP's kontor i Holstebro. Han kommer fra en stilling som Team Lead hos Thise Mejeri. Nyt job

    Peter Holst Ring Madsen

    Netip A/S

    Circle Of Bytes ApS har pr. 1. maj 2025 ansat Jeanette Kristiansen som Account Manager. Hun skal især beskæftige sig med at opbygge og styrke relationer til kunder og samarbejdspartnere, samt sikre det rette match mellem kunder og konsulenter. Nyt job

    Jeanette Kristiansen

    Circle Of Bytes ApS

    Industriens Pension har pr. 3. november 2025 ansat Morten Plannthin Lund, 55 år, som it-driftschef. Han skal især beskæftige sig med it-drift, it-support og samarbejde med outsourcingleverandører. Han kommer fra en stilling som Head of Nordic Operations Center hos Nexi Group. Han er uddannet HD, Business Management på Copenhagen Business School. Han har tidligere beskæftiget sig med kritisk it-infrastruktur og strategiske it-projekter. Nyt job

    Morten Plannthin Lund

    Industriens Pension

    Sentia har pr. 1. oktober 2025 ansat Morten Jørgensen som Chief Commercial Officer. Han skal især beskæftige sig med udbygning af Sentias markedsposition og forretningsområder med det overordnede ansvar for den kommercielle organisation. Han kommer fra en stilling som Forretningsdirektør hos Emagine. Nyt job

    Morten Jørgensen

    Sentia

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Microsoft omdøber Office: Her er det nye navn, du skal vænne dig til
    2 Arbejdsgivere vrager i stor stil ældre it-specialister: "Når man runder de 50, er det rigtig, rigtig svært"
    3 54-årige Flemming Kristensen havde 100 it-medarbejdere som chef i Norlys, men kommer sjældent til jobsamtale: "Jeg synes, det er bemærkelsesværdigt"
    4 Fire it-giganter skal kæmpe om en af de største kommunale kontrakter nogensinde
    5 Microsoft Danmark bryder bogføringsloven: "Vi arbejder aktivt på en løsning"
    6 Flere banker har afbrudt samarbejdet med Netcompany efter SDC-opkøb – nu lander selskabet tiltrængt aftale med norsk bank
    7 52-årig it-specialist skjuler sin alder i cv’et for ikke at blive sorteret fra: "De ville have en, der ikke havde rundet 30"
    8 Så meget tjener du som ansat i den danske it-branche: Lønninger, eksport og omsætning sætter rekord

    Se seneste uge