Computerworld News Service 'Windows Sidebar Protection' på 1MB blev føjet til Windows Update tirsdag og klassificeret som en højprioritetes-opdatering.
Microsoft-kunder der kører Vista RTM – den første version, der udkom til virksomheder i slutningen af 2006 og til forbrugere i starten af 2007 – kunne se opdateringen på listen tirsdag.
Opdateringen er frivillig, men afhængigt af hvilke indstillinger brugeren har valgt i Windows' Automatic Updates, kan den downloades og installeres uden yderligere handling.
Windows Sidebar er et panel, der kun findes i Vista og indeholder de miniature-applikationer, der er kendt som gadgets – små redskaber der for eksempel viser tid og dato eller RSS-feeds.
Windows-gadgets er sammensat af HTML og forskellige scripts.
Og det er ifølge Microsoft dér, problemet ligger.
Ondsindede
"Vista behandler gadgets på samme måde, som det behandler alle andre eksekverbare koder," kan man læse i vejledningen, der følger med opdateringen.
"Gadgets skrives med HTML og script, men denne HTLM er ikke placeret på en vilkårlig afsides server, ligesom hjemmesider er."
HTML-indholdet i gadgeten downloades først som en del af en pakke af ressourcer og konfiguratinsfiler og udføres så fra den lokale computer.
Med andre ord kan gadgets være farlige, endda ondsindede.
De små applikationer er ikke kun lavet af Microsoft, men også af tredjeparts-udviklere og –brugere.
Microsoft har gatgets på sin hjemmeside, men kontrollerer dem ikke.
"Opdateringen er en mekanisme til for det første at undgå, at en ondsindet gadget bliver installeret, og hvis det alligevel sker, til at blokere den," fortæller Austin Wilson, chef i Windows' client product management group.
"Vi er proaktive. Vi har set på sikkerheden og ville have det her på plads, hvis der opstår et problem i fremtiden."
Bad Gadget
Der er ingen kendte sårbarheder i eksisterende gadgets, fortæller Austin Wilson og understreger, at Microsoft heller ikke kender til nogen gadgets, der bevidst er ondsindede.
Når Microsoft opdager en fejlramt, mistænkelig eller ondsindet gadget, skabes en 'kill bi'-fil, der bliver sendt til brugerne gennem Windows Update på en fast dag hver måned, foklarer Austin Wilson.
Han fremhæver, at gårsdagens opdatering ikke indeholdt en kill bit, men i stedet er et værktøj, der genererer et unikt ID for hver gadget, accepterer listen fra Windows Update og derefter blokerer eksisterende gadgets og installation af nye gadgets.
Når en gadget er identificeret som ondsindet, bliver dens ikon skiftet ud med et ikon, der er mærket 'Bad Gadget'. Ikonet kan ikke trækkes, og værktøjet viser den som en sikkerhedstrussel.
Oversat af Mille Bindslev
