August-utgaven av Microsofts månedlige sikkerhetsoppgraderinger er særdeles omfattende. Seks sårbarheter skal tettes, hvorav tre «kritiske», det vil si at de gjelder sikkerhetshull der ofre kan skades av uvedkommende ved normal bruk av programvaren.
De seks sikkerhetsbulletinene Microsoft Security Bulletin MS05-038 til MS0543 er presentert kollektivt på Microsoft Security Bulletin Summary for August, 2005.
Microsofts automatiske tjenester Windows Update og Microsoft Update leverer oppdateringene kontinuerlig. Den selvbetjente Download Center fikk noen korrupte utgaver, og er i ferd med å forsynes med nye fikser, heter det i en offisiell melding.
Den mest alvorlige sårbarheten gjelder en feil i nettleseren Internet Explorers håndtering av bildefiler i det utbredte jpeg-formatet. Uvedkommende med kjennskap til sårbarheten vil kunne framstille bilder som smitter et offer med vilkårlig kode, bare nettleseren viser bildet. Det åpner for spredning av ormer, trojanske hester, angrepsroboter med mer, og er alene grunn nok til at Microsofts henstilling om å installere oppdateringen så fort som mulig, bør følges.
Denne kritiske sårbarheten gjelder alle Windows fra 98 til XP SP2.
De andre kritiske sårbarhetene som tettes i denne omgang er en usikret buffer i Windows Plug and Play for Windows 2000 og Server 2003, samt en usikret buffer i skriverspoleren Spoolsv.exe i Windows 2000 og XP – også SP2, men ikke x64.
En sårbarhet i håndteringen av Kerberos i Windows 2000 og alle Windows XP, samt Windows Server 2003, er gradert som «moderat» og følges av en anbefaling om å «vurdere en oppgradering».
Servere som er satt opp med tanke på modemmottak bør oppgraderes for å fikse en TAPI-feil (Telephony Application Programming Interface), mens brukere av Remote Desktop Protocol bør oppgradere for å redusere risikoen for tjenestenektangrep.
Les også:
- [17.08.2005] Ormebølgen har ikke nådd Norge
- [05.08.2005] Slik kan hackere kartlegge ormefeller
- [04.08.2005] Kritisk feil funnet i Windows 2000
- [03.08.2005] Meget kritisk sårbarhet i Kerberos