Fire nye sikkerhetsfikser fra Microsoft

Den mest alvorlige sårbarheten ble ikke fjernet med gårsdagen sikkerhetsfikser fra Microsoft.

Harald BrombachHarald BrombachNyhetsleder
9. juli 2008 - 09:45

Microsoft kom i går med fire sikkerhetsfikser som til sammen fjerner ni sårbarheter i selskapets programvare. Men ingen av disse sårbarhetene regnes som veldig alvorlige. I alle fall ikke sammenlignet med den Access-relaterte sårbarheten som ble oppdaget for få dager siden.

Sårbarhetene som er blitt fjernet, finnes i ulike utgaver av Windows, samt i Exchange Server og SQL Server.

Den ene sikkerhetsfiksen skal rette noen problemer knyttet DNS-cachen i Windows, som kan utnyttes av ondsinnede til å legge igjen forfalskede oppføringer. Dette kan lede brukerne til feilaktige nettsteder som kanskje benyttes i phishingforsøk.

Flere melder om problemer med denne sikkerhetsfiksen. En digi.no-leser med Windows XP skriver i en e-post at han ikke kom på nett etter at denne oppdateringen ble installert. Løsningen var å fjerne den igjen. Andre skriver at oppdateringen ikke fungerer sammen med brannmuren ZoneAlarm.

En annen sårbarhet skyldes en feil i Windows Explorer/Utforsker under behandlingen av lagrede søkefiler (.search-ms) under selve lagringen. Dette kan utnyttes av ondsinnede til få mulighet til å kjøre vilkårlig kode på systemet, ved å lokke brukere til å åpne og deretter lagre spesielt sammensatte filer av denne typen.

Exchange

Exchange-sårbarhetene er knyttet til Outlook Web Access (OWA) i Exchange 2003 og 2007 og skyldes mangelfull validering av HTML i e-postmeldingene og av visse e-postfelter. Dette kan åpne for kjøring av vilkårlig HTML og skriptkode i arbeidsøkten i brukerens nettleser, noe som kan brukes til å avdekke fortrolig informasjon.

Sårbarheten skal dog ikke gjelde i OWA Premium.

De resterende sårbarhetene finnes i SQL Server 2000 og 2005, samt i Microsoft Data Engine (MSDE) 1.0. Disse åpner for kjøring av vilkårlig kode med eskalerte privilegier og kan i alle fall utnyttes til å avdekke sensitiv informasjon.

Mer informasjon om sårbarhetene og sikkerhetsoppdateringene finnes på denne siden.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra