CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Liz Welsh, CC BY 2.0)

Microsoft spotter dårlig kode - og udsender 'hemmelig' Windows-opdatering

Microsoft sendte i sidste uge en haste-opdatering afsted til Windows Server. Pakken indeholdt dog også en 'hemmelig' rettelse til firmaets almindelige klienter. Her er forklaringen.

25. november 2014 kl. 08.28
Nicolai Devantier Nicolai Devantier Journalist

Da Microsoft i sidste uge sendte en hasteopdatering ud til Windows Server, var sikkerhedspakken også forsynet med rettelser til flere versioner af Microsofts klientsystemer, herunder Windows 7, 8 og det kommende version 10.

Du kan læse mere om server-rettelsen her: Microsoft lukker kritisk hul lige nu - hasteudsender rettelse

Men der blev kun oplyst om server-sårbarhederne i den såkaldte sikkerheds-bulletin, der følger med alle opdateringer.

Rettelserne til klientudgaverne blev ikke omtalt med et eneste ord.

AD-tyveri

Hasteudsendelsen understreger naturligvis, at der er tale om en alvorlig sårbarhed i Windows Server.

Hackere var således allerede startet med at udnytte hullet i Windows Server 2008 R2 og tidligere versioner. Derfor lukkede Microsoft hullet uden for normal cyklus.

I server-versionerne betød sårbarheden, at hackere benyttede login-oplysninger fra personer i Active Directory (AD) til at skaffe sig administrator-rettigheder. 

Sikkerhedslappen lukkede en sårbarhed i Windows Kerberos KDC, der er en sikkerhedsfunktion til validering, som man finder på kodevirksomhedens servere.

Den hemmelige rettelse

I oplysningerne for opdateringen var der dog ingen informationer om, at en rettelse til klientversionerne af Windows var med i pakken, som tilfældet var.

Server-sårbarheden, der blev lukket, findes slet ikke i skrivebordsversionerne af firmaets styresystem.

Men opdateringspakken havde alligevel 'hemmelige' opdateringer til Windows Vista, Windows 7, Windows 8, Windows 8.1 og forhåndsudgaven af Windows 10.

En talsmand fra Microsoft forklarer den usynlige opdatering således:

"Da vi arbejdede med rettelsen til Privilege Attribute Certificate (server-sårbarheder, red.), opdagede vi en del ældre kode, som vi ikke var tilfredse med. Teoretisk kunne koden udnyttes i forbindelse med andre angrebstyper," lyder den officielle udtalelse fra Microsoft til PC World i USA.

Og han forklarer videre:

"I vores undersøgelse opdagede vi ikke en direkte sårbarhed til disse platforme, men vi fandt en del kode, der skulle forbedres for at kunne modstå fremtidens sikkerhedsproblemer," skriver kodefabrikken i en mail til PC World.

Læs også:

Her er Microsofts kæmpe-sikkerhedspakke

Kæmpe-opdatering på vej fra Microsoft

Microsoft lukker kritisk hul lige nu - hasteudsender rettelse




Navnenyt fra it-danmarkVis alle »
Jeppe Bjerremand
Jeppe Bjerremand
Malene Høher Pedersen
Malene Høher Pedersen
Mike Anand
Mike Anand
Line Flenge Christiansen
Line Flenge Christiansen

Zeljka Cubrilo
Zeljka Cubrilo
Lotte Lundorf Dalgaard
Lotte Lundorf Dalgaard
Flemming Nissen-Petersen
Flemming Nissen-Petersen
Linda Malene Kragh
Linda Malene Kragh


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
People Tech 2023: Sådan gør du din gode arbejdsplads endnu bedre

Du får indsigt i de nyeste trends, hvor udviklingen går hen, masser af inspiration fra andres erfaringer samt god tid til netværk – og værdifuld indsigt i mulighederne for at effektivisere løn- og HR-processer, understøtter nye arbejdsformer og helt basalt skabe grundlaget for at skabe en bedre og mere attraktiv arbejdsplads.

13. december 2023 | Læs mere

Computerworld Cyber Briefing

Én gang om måneden leverer Computerworld Event et 30 minutters Cyber Briefing, hvor du får overblik over de mest aktuelle angreb, største trusler og tendenser samt giver dig gode råd, der kan implementeres direkte i din it-sikkerhedsafdeling. Tema: Trusselsvurderinger – hvorfor er de så forskellige?

19. december 2023 | Læs mere

Secure Access Service Edge - SASE: Sådan styrker du netværkssikkerhed i skyen og skaber et robust cyberforsvar

Bliv klogere på nogle af de udfordringer, som en SASE-løsning effektivt kan håndtere. Du får inspiration til, hvordan du implementerer en cloudbaseret SASE-strategi i din organisation – og hvorfor du bør gøre det. Og så dykker vi ned i nogle af de trends og tendenser, som betyder, at mange virksomheder og organisationer udskrifter deres klassiske netværkssikkerhedstilgang med en SASE-strategi.

16. januar 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Balder Borup
Balder Borup
Mikkel Heltborg Terp
Mikkel Heltborg Terp
Kennet Harpsøe
Kennet Harpsøe
Giuliano Liguori
Giuliano Liguori
Mogens Nørgaard
Mogens Nørgaard
Renet Boshoff
Renet Boshoff
David Guldager
David Guldager
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Tre gode, to onde og en ret grusom nyhed
Læs indlæg
Artikel teaser billede

Balder Borup

Gamle myter om cloudsikkerhed gør virksomheders cloud-rejser besværlige

Artikel teaser billede

Mikkel Heltborg Terp

Engang havde jeg en stærkt romantiseret forestilling om Piccoline-computeren på den lokale ungdomsskole og den slæbbare IBM PS/2 P70

Artikel teaser billede

Kennet Harpsøe

Ny virkelighed: APT’er sætter turbo på sofistikerede cyberangreb

Artikel teaser billede

Giuliano Liguori

AI er fremtiden - er du klar til at håndtere risikoen? Læs et helt kapitel fra ny bog forfattet af 150 af verdens førende iværksættere, ledere og innovatører

Mest læste klummer og blogs
Engang havde jeg en stærkt romantiseret forestilling om Piccoline-computeren på den lokale ungdomsskole og den slæbbare IBM PS/2 P70
Klumme: Mange er nok ikke klar over, at når man tænker på noget, så tænker man ikke tilbage til det oprindelige minde, men derimod tilbage til sidste gang, man mindedes det.
Af: Mikkel Heltborg Terp
Nørgaard: Tre gode, to onde og en ret grusom nyhed
Klumme: It-sikkerhed og vedligehold af de gamle - og de kommende - legacy-systemer er også elendig hos de private. Meget elendig, endda. Når NIS2 kommer drønende i det nye, år bliver det rigtigt sjovt
Af: Mogens Nørgaard
Gamle myter om cloudsikkerhed gør virksomheders cloud-rejser besværlige
Klumme: Blandt cloudarkitekter, ingeniører og sikkerhedsteams er der ofte er en række antagelser og myter, som faktisk kan resultere i svagere sikkerhed eller forpassede muligheder for at maksimere cloudsikkerheden.
Af: Balder Borup
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: At sove i sne, bornholmsk syp med chili - og derfor bør EDC hedde EDB istedet for
opinion Mogens Nørgaard
Nørgaard: At sove i sne, bornholmsk syp med chili - og derfor bør EDC hedde EDB istedet for
Læs indlæg

Premium
Teaser billede
Et år efter pludselig exit fra Region Hovedstaden: Tidligere it-direktør Torben Dalgaard lander nyt job
Læs mere »
Derfor presser de store it-selskaber på for at få dig over i cloud
Disse tre leverandører får plads på dansk SAP-aftale til 250 millioner kroner
Sundhedsdatastyrelsen lander stort million-underskud: Har brug for flere penge
Se alle »
Computerworld
Teaser billede
Mia Wagner får 700.000 kroner i eftervederlag efter blot to uger som minister
Læs mere »
Er Windows 11 hurtigere end Windows 10? Få svaret her
Smugkig på 'Windows 12' og al den kunstige intelligens, der følger med: Der er gode grunde til at glæde sig
Nu slippes den løs: Her er Teslas ekstreme Cybertruck
Se alle »
CIO
Teaser billede
Skelsættende GDPR-dom fra EU-retten kan føre til en bøderegn
Læs mere »
Apple har nået en milepæl i selskabets desperate jagt efter erhvervskunder til Mac – overhaler pc'en på it-sikkerhed
Vrede SAP-kunder frygter, at million-investeringer er gået til spilde - det er en regulær kovending i vilkår, lyder anklagen
Cloud-krigen kører for fuld udblæsning: AWS og Google skyder med skarpt mod Microsofts licenser
Se alle »
Job & Karriere
Teaser billede
Få dage før fyring af Sam Altman blev OpenAI's bestyrelse advaret om AI-gennembrud, der kan true menneskeheden
Læs mere »
Mia Wagner får 700.000 kroner i eftervederlag efter blot to uger som minister
Så meget falder it-teknikeres arbejdsevne, når de runder 50 år: Klarer sig dårligere end sygeplejersker og politibetjente
It-rigmand: Unge bør arbejde 70 timer om ugen
Se alle »
White paper
Teaser billede
Sådan høster du forretningsfordelene ved Internet of Things
Læs mere »
Stil IT-værktøjer nemt og sikkert til rådighed hvor som helst, når som helst
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Phishing: Her er de mest alvorlige trusler på globalt niveau
Se alle »

Events
Flere events »
White papers
Flere white papers »
Uddannelse
Se alle kurser »