CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Microsoft har arbejdet på løsning til alvorlig sårbarhed i helt år - Windows skal skrives om

Det har taget Microsoft et helt år at udarbejde en løsning på et alvorligt problem i Windows, som først nu kommer til offentlighedens kendskab. Løsningen har krævet omskrivning af flere dele af Windows.

12. februar 2015 kl. 10.05
Dan Jensen Dan Jensen Redaktionschef

Blandt sværmen af sikkerhedsopdateringer udsendt tirsdag af Microsoft er en patch til en alvorlig sårbarhed i computerens såkaldte Group Policy, som Microsoft har arbejdet på i et helt år.

Du kan læse mere om tirsdagens opdateringer her: I denne måned har Microsoft fundet 56 sikkerheds-problemer i IE, Windows og Office

Sårbarheden er så alvorlig, at den udgør en trussel for hele computeren - og især computere, der er del af virksomhedernes netværk.

Sårbarheden kaldes for 'JASBUG,' og Microsoft indledte arbejdet med at finde en løsning for et helt år siden.

Designfejl i Windows

Blandt andet har Microsoft ændret i netop Group Policy for at rette sårbarheden, da der ifølge sikkerhedsselskabet JAS Global Advisors grundlæggende er tale om en design-fejl i Group Policy, som ingen har opdaget i de seneste 10 år, hvor funktionen har været aktivt.

Group Policy er den funktion, som organisationer typisk anvender til at håndtere Windows-maskiner, applikationer og bruger-indstillinger i Active Directory-systemer.

JAS Global Advisors rapporterede fejlen til Microsoft i januar 2014.

"I modsætning til andre alvorlige sikkerhedsproblemer som Heartbleed, Shellschock, Gotofail og Poodle er dette et design-problem, ikke et implementerings-problem," skriver JAS Global Advisors i en såkaldt advisory, som du kan læse her.

Microsoft har ifølge sikkerhedsselskabet været nødt til at genskrive flere kerne-komponenter i Windows og tilføje en række nye funktioner for at løse problemet.

Microsoft: Sådan har vi løst problemet
Ifølge Microsoft er det mest sandsynligt, at angribere vil udnytte de pågældende sårbarheder ved hjælp af såkaldt 'ARP spoofing' på lokale netværk.

Det skal få narre computere til at acceptere og tilføje konfigurations-data til Group Policy fra fremmede servere, som hackerne kontrollerer.

Lykkes det, kan hackere relativt frit installere programmer, ændre data og oprette nye konti på de ramte systemer, skriver Microsoft i en blog post om problemet.

Selskabet har nu tilføjet en helt ny funktion, der hedder UNC (Universal Naming Convention) Hardened Access til Windows.

Funktionen skal sikre, at både klient og server autentificerer hinanden, før klienten får adgang til Group Data-reglerne på serveren.

Du kan læse mere om, hvordan funktionen anvendes, i denne artikel fra Microsoft.

Problemet findes i alle understøttede Windows-versioner. Microsoft har dog besluttet ikke at skrive en patch til Windows Server 2003, da den i forvejen forlængede support af systemet udløber til sommer, nemlig 14. juli.

Det kan du læse mere om her: Microsoft stopper support på gammel Windows-version: Kæmpe-opgradering venter forude

Microsoft meddeler, at en løsning til Windows Server 2003 ville have krævet, at væsentlige dele af systemet blev skrevet om, og det ville kunne skabe kompatibilitets-problemer med forskellige applikationer.

Læs også:

Her er Windows Server 10: Derfor får server-styresystemet stor betydning.

Microsoft stopper support på gammel Windows-version: Kæmpe-opgradering venter forude

Kæmpe-opdatering på vej fra Microsoft




Navnenyt fra it-danmarkVis alle »
Peter Bruun Nielsen
Peter Bruun Nielsen
Jan Isholm Petersen
Jan Isholm Petersen
Bjarke Lohmann Pedersen
Bjarke Lohmann Pedersen
Claus Thorsager
Claus Thorsager

Daniel Lynge Harring
Daniel Lynge Harring
Rasmus Vulpius Gregersen
Rasmus Vulpius Gregersen
Christoffer Luplau
Christoffer Luplau
Jesper Hendriksen
Jesper Hendriksen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
AI Business Excellence Day – sådan folder du mulighederne ud

Mange danske virksomheder har eksperimenteret med AI-projekter af begrænset omfang, men kun de færreste har for alvor udforsket mulighederne i storskala. Det gør vi her! Du vil blandt andet få mulighed for at se eksempler på, hvordan AI kan anvendes som accelerator i storskala og skubber til grænserne for, hvordan det er muligt at integrere teknologien, så potentialet for alvor foldes ud.

24. april 2024 | Læs mere

Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data

Vi dykker ned i værdien af en stabil og pålidelig storage-platform og hvilke muligheder der findes, for at sikre den højeste grad af redundans og tilgængelighed. Områder som date-beskyttelse og cyber-sikkerhed vil også blive berørt.

25. april 2024 | Læs mere

OT og IT: Modernisér produktionen og byg sikker bro efter et årelangt teknologisk efterslæb

Moderne produkter skal have mere end strøm for at fungere – og deres navlestreng skal ikke klippes når de forlader fabrikshallen. På denne konference kan du derfor lære mere om hvordan du får etableret det sikre setup når der går IT i OT.

30. april 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Andreas Kiær
Andreas Kiær
Kenneth Fuglsang Christensen
Kenneth Fuglsang Christensen
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
opinion
Andreas Kiær
Andreas Kiær
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Læs indlæg
Artikel teaser billede

Kenneth Fuglsang Christensen

Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med

Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Mest læste klummer og blogs
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
Mangler du it-ressourcer? – så er du nok selv skyld i det. For der er masser af arbejdskraft at tage af
Klumme: Hvorfor er det, at mangel på erfarne it-specialister fik 35 procent af danske it-firmaer til at sige nej til opgaver sidste år, når løsningen på dette er tilgængelig i dag og ofte ikke kræver andet end en holdningsændring i virksomhederne?
Af: Andreas Kiær
Tre gode råd til at få styr på den nye bogføringslov - det kræver grundige overvejelser
Klumme: Det kræver grundige overvejelser, når man som virksomhed skal sikre, at man lever op til lovgivningen fra 1. juli. Det kan måske virke uoverskueligt, når man både skal have styr på it og selve bogføringsprocesserne – især, hvis man ikke har et stort bogholderi. Her kommer tre gode råd.
Af: Kenneth Fuglsang Christensen
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Læs indlæg

Premium
Teaser billede
Microsoft advarer: Russiske hackere udnytter flere år gammel Windows-sårbarhed til at stjæle data
Læs mere »
Offentlige myndigheder kan snart få adgang til virksomheders data
HPE’s salg i Danmark går 200 millioner kroner tilbage: Modtager penge fra moderselskab for at få overskud
Facebook var tæt på at forlade Europa: Her er de største GDPR-øjeblikke fra 2023
Se alle »
Computerworld
Teaser billede
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Læs mere »
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
En hyldest til klodens snedigste tablet-design: Nu er fremtiden for Microsofts hardware endnu mere uvis
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Danske CloudNordic går konkurs efter stort ransomware-angreb
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Ja, AI vil betyde fyringer og eliminering af stillinger – disse grupper bliver ramt
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Læs mere »
SASE: Træf det rette valg – første gang
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »