PC-er innstilt på Windows' automatiske oppdateringstjeneste hadde det travelt i morges. I går kveld kunngjorde Microsoft 22 nye sårbarheter, knyttet til operativsystemet – Windows og nettleser – og til 2000, 2002 (begge Windows) og 2001 (Mac) utgavene av regnearket Excel.
Mange av sårbarhetene oppfattes som kritiske. Omfanget og alvoret i hullene har fått Symantec til å oppjustere trusselnivået fra nivå 1 til nivå 2.
Sårbarhetene i Windows og Internet Explorer dekkes av Windows' automatiske oppdateringstjeneste. Sårbarheten i Excel må tettes særskilt. Microsoft har varslet en automatisk oppdateringstjeneste for Office-programmene, men den er ennå ikke kommet i stand, og vil ikke nødvendigvis gjelde eldre utgaver av kontorpakken.
Microsoft har lagt ut detaljerte beskrivelser av alle sårbarhetene på TechNet Security Resource Center. Den danske tjenesten Secunia har også en oversikt.
Ifølge Secunia dreier sårbarhetene i Internet Explorer seg blant annet om usikrede buffere og feil i selve sikkerhetsmodellen. Uvedkommende kan utnytte sårbarhetene til å kjøre vilkårlig kode og installere filer på offerets PC.
Kanskje mest alvorlig er en feil i håndteringen av cachet SSL-innhold, som ifølge Secunia kan utnyttes til å fange opp følsom informasjon eller til å med å forfalske innholdet på et SSL-beskyttet nettsted, for eksempel en nettbank.
Windows-sårbarhetene kan unyttes på flere vis, blant annet utføre tjenestenektangrep, tilegne seg brukerrettigheter og kompromittere en PC eller en server.
Trøsten her er at de sårbare tjenestene på serversiden ikke er påslått i utgangspunktet i nyere utgaver av Windows. Det er selvfølgelig smal trøst for den som bruker dem.
Les også:
- [18.10.2004] Mindre nytt i oppdatert Windows Server
- [29.09.2004] Virusvernere ruster seg mot grafikkorm
- [22.09.2004] Gartner: - Windows er historiens største betatest
- [15.09.2004] Microsoft tettet alvorlige sårbarheter
- [27.08.2004] Lett å lure Microsofts sikkerhetssenter