Fire nye sikkerhetsfikser fra Microsoft

Den mest alvorlige sårbarheten ble ikke fjernet med gårsdagen sikkerhetsfikser fra Microsoft.

Harald BrombachHarald BrombachNyhetsleder
9. juli 2008 - 09:45

Microsoft kom i går med fire sikkerhetsfikser som til sammen fjerner ni sårbarheter i selskapets programvare. Men ingen av disse sårbarhetene regnes som veldig alvorlige. I alle fall ikke sammenlignet med den Access-relaterte sårbarheten som ble oppdaget for få dager siden.

Sårbarhetene som er blitt fjernet, finnes i ulike utgaver av Windows, samt i Exchange Server og SQL Server.

Den ene sikkerhetsfiksen skal rette noen problemer knyttet DNS-cachen i Windows, som kan utnyttes av ondsinnede til å legge igjen forfalskede oppføringer. Dette kan lede brukerne til feilaktige nettsteder som kanskje benyttes i phishingforsøk.

Flere melder om problemer med denne sikkerhetsfiksen. En digi.no-leser med Windows XP skriver i en e-post at han ikke kom på nett etter at denne oppdateringen ble installert. Løsningen var å fjerne den igjen. Andre skriver at oppdateringen ikke fungerer sammen med brannmuren ZoneAlarm.

En annen sårbarhet skyldes en feil i Windows Explorer/Utforsker under behandlingen av lagrede søkefiler (.search-ms) under selve lagringen. Dette kan utnyttes av ondsinnede til få mulighet til å kjøre vilkårlig kode på systemet, ved å lokke brukere til å åpne og deretter lagre spesielt sammensatte filer av denne typen.

Exchange

Exchange-sårbarhetene er knyttet til Outlook Web Access (OWA) i Exchange 2003 og 2007 og skyldes mangelfull validering av HTML i e-postmeldingene og av visse e-postfelter. Dette kan åpne for kjøring av vilkårlig HTML og skriptkode i arbeidsøkten i brukerens nettleser, noe som kan brukes til å avdekke fortrolig informasjon.

Sårbarheten skal dog ikke gjelde i OWA Premium.

De resterende sårbarhetene finnes i SQL Server 2000 og 2005, samt i Microsoft Data Engine (MSDE) 1.0. Disse åpner for kjøring av vilkårlig kode med eskalerte privilegier og kan i alle fall utnyttes til å avdekke sensitiv informasjon.

Mer informasjon om sårbarhetene og sikkerhetsoppdateringene finnes på denne siden.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.