Microsoft klar med nye sikkerhedsopdateringer

Microsoft udsender tirsdag seks sikkerhedsopdateringer til Windows og Office - det er kun halvt så mange som i sidste måned.

Computerworld News Service: Tirsdagens sikkerhedsopdateringer vil tilsammen lukke 15 separate sårbarheder, skriver Microsoft på sin blog security response center.

"Seks er lykketallet i denne måned," siger Andrew Storms, der er sikkerhedsleder hos nCircle Network Security.

"Faktisk så er alt under 13 et lykketal i denne sammenhæng."

I sidste måned udsendte Microsoft 13 sikkerhedsopdateringer, der lukkede 34 sårbarheder, hvilket er rekorden, siden virksomheden begyndte at udsende de månedlige sikkerhedsopdateringer for mere end seks år siden.

De seks kommende opdateringer vil dog dele rekorden som det højeste antal, der nogensinde er udsendt i november, der traditionelt er en let måned, når det kommer til opdateringer fra Microsoft. I november 2006 udsendte Microsoft også seks sikkerhedsopdateringer. I november 2007 og 2008 udsendte virksomheden kun to, og i 2005 blev det kun til en enkelt.

Ud af de seks kommende opdateringer har tre af dem fået betegnelsen "kritisk", hvilket er den alvorligste vurdering af sikkerhedsrisiko i vurderingssystemet, der har fire trin. De resterende tre opdateringer betegnes "vigtige", hvilket er den næstlaveste vurdering. Fire ud af de seks opdateringer påvirker en eller flere udgaver af Windows eller Windows Server, de andre to påvirker Word og Excel fra Office-pakken.

Da der ikke er nogen uafklarede såkaldte security advisories fra Microsoft, kan Storm ikke svare på, hvad de kommende opdateringer vil rette.

"Men Bulletin 1 ser interessant ud," siger han og bemærker, at den kritiske opdatering kun påvirker Vista og Server 2008.

"Historisk set forventer man, at en opdatering af Vista også rammer XP og måske endda Windows 7," forklarer Storms.

Ingen af opdateringerne er af Microsofts nyligt udgivne styresystemer, Windows 7 eller Windows Server 2008 R2. I sidste måned udsendte Microsoft de første sikkerhedsopdateringer af Windows 7's endelige kode.

"Der er slet ingen opdateringer til Windows 7," siger Storms og tilføjer, at det lover godt.

Det vil dog kunne betale sig at holde øje med Windows 7.

"Som tiden går, bliver det interessant at se, om Microsoft går tilbage og retter fejl i de ældre styresystemer, som virksomheden fandt og rettede under udviklingen af Windows 7."

En anden af opdateringerne at være opmærksom på er den, som Microsoft kalder "Bulletin 3" i sin nyeste forhåndsmeddelelse om sikkerhedsbulletiner, som kun indeholder de mest overordnede informationer.

Denne opdatering, der også betegnes kritisk, rammer alle versioner fra det aldrende Windows 2000 til Vista og Windows Server 2008. "Jeg tror, at Bulletin 3 er den store i denne omgang," siger Storms.

Det er en anden analytiker enig i.

"Vores kilder melder enstemmigt, at Bulletin 3 er den vigtigste for denne måned," skriver Sheldon Malm, som er seniorleder for sikkerhedsstrategi hos Rapid7, i en e-mail.

"Man bør gøre sig det klart, hvor forskellige Windows-versioner er i sit miljø, så man kan planlægge test og udrulning af opdateringen fra Bulletin 3 så hurtigt som muligt."

Åbenhed hjælper planlægningen
De to opdateringer af Office, der begge betegnes som vigtige, vil rette problemer i Word og Excel. Den første opdatering vil være af Word 2002 og Word 2003 på Windows og af Word 2004 og Word 2008 på Mac. Excel-opdateringen vil rette et eller flere problemer i Excel 2002, Excel 2003 og Excel 2007 på Windows og Excel 2004 og Excel 2008 på Mac.

"Office-opdateringerne er interessante, men baseret på hvad Microsoft nu fortæller, så regner jeg med, at de vil være af den slags filformats-fejl, som vi kender og elsker," siger Storms.

Sårbarheder i Office-filformaterne har udgjort en sand skattekiste for hackere, som med succes har udnyttet dem i årevis. I sidste uge erkendte Microsoft, at størstedelen af angrebene mod Office i første halvdel af 2009 var målrettet en enkelt sårbarhed, som virksomheden lukkede i juni 2006.

Dette er anden måned i træk, hvor Microsoft på forhånd har offentliggjort ikke kun antallet af kommende opdateringer men også antallet af fejl, som disse opdateringer vil rette. Og det er god ting, mener Storms.

"Det er rigtig godt. Det hjælper i planlægningen, da man ellers ikke kan vide, om seks bulletiner dækker over seks sårbarheder eller over 20," siger han.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategiske it-sikkerhedsdage 2021

God it-sikkerhed er blevet en strategisk disciplin der kombinerer ledelse, adfærd, processer og teknologi. Men hvor lægger du niveauet? Hvad er vigtigt for forretningen og den drift? Hvad er knapt så vigtigt? Hvordan indtænker du it-sikkerheds-indsatsen strategisk? Hvad gør du, når skaden er sket? Bliv klogere på ”Strategiske it-sikkerhedsdage 2021: Trusler, tendenser og værktøjer”.

26. januar 2021 | Læs mere


Fuel your IT with the best-kept secret in IBM

It takes massive computing power to accurately calculate weather forecasts – and to secure that people and businesses are able to access detailed information about whether it is going to rain, shine, storm, or snow. In this seminar, you will have the chance to hear the British Met Office describe how they do exactly that.

28. januar 2021 | Læs mere


Sandheden om Schrems II – erhvervslivets nye Cuba-krise

Konsekvenserne af Schrems II kan meget vel gå hen og blive en af de største udfordringer for danske virksomheder i 2021. Så tjek ind på denne onlinebriefing, hvor den hemmelige Schrems II gæst, ComplyCloud og Datatilsynet giver dig indsigt i, hvad dommen i virkeligheden handler om, og hvilke menneskelige hensyn der ligger bag.

29. januar 2021 | Læs mere






Premium
Corona har flået kvinder i tech-branchen tilbage til kønssteotype arbejdsopgaver
Den skulle have sat speed på kønsdiversiteten i tech-branchen. Men nedlukningen er endt med at spænde ben for kvinders karriereudvikling, og tvunget dem ind i mere kønssteotype opgaver.
Computerworld
Biden sender skjult besked til kode-folket: "Hvis du læser dette, har vi brug for din hjælp”
En stående invitation er blevet opdaget i kildekoden på Det Hvide Hus' hjemmeside. Men den er kun til de eksperter, der selv kan finde den.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
White paper
Gratis whitepaper: Hvad er EDI, og hvordan kan det styrke min forretning?
Overvejer du EDI, og ønsker du at undersøge, om EDI er den rette investering for din virksomhed? Har en af dine kunder eller leverandører for nyligt bedt dig om at udveksle elektroniske dokumenter (EDI)? Så hent dette whitepaper og få et overblik over, hvad EDI er, og hvilke fordele producenter og grossister som dig kan se frem til, når du investerer i EDI til din forretning.