Microsoft skulle ha kommet med 14 sikkerhetoppdateringer til selskapet produkter, men kom bare med 13.
Sikkerhetsoppdateringen som skulle ha stengt døren for angrep av den typen som i høst ble demonstrert med verktøyet kalt BEAST, MS11-100, ble trukket tilbake i tolvte time.
– Bulletinen som etter planen skulle gjelde Security Advisory 2588513 ble utsatt på grunn av et kompatibilitetsproblem med en tredjepartsapplikasjon. Leverandøren, som vi er i direkte kontakt med, vil løse problemet, sier Jerry Bryant, gruppeleder i Microsofts Trustworthy Computing team, i en uttalelse som er gjengitt i amerikansk presse.
Ifølge Computerworld New Zealand skal den aktuelle programvareleverandøren være SAP. En representant for Microsoft skal ha sagt at selskapet heller trekker en sikkerhetsbulletin enn å levere noe som kan være til besvær for kundene.
BEAST (Browser Exploit Against SSL/TLS) utnytter en svakhet som berører alle webservere som benytter SSLv3/TLSv1-kryptering. Dette kan brukes til å avlytte krypterte forbindelser. Angrepene kan kun utføres i de tilfeller hvor kodenøklene benytter symmetriske krypteringsalgoritmer i CBC-modus, for eksempel den mye brukte AES. RC4-kodenøkler er derimot ikke berørt, og som en foreløpig løsning foreslår det at man konfigurerer serveren slik at RC4 favoriseres.
De 13 øvrige sikkerhetsoppdateringene ble utgitt som planlagt. Den mest alvorlige fjerner en sårbarhet i tolkningen av TrueType-fonter. Det er kjent at denne sårbarheten blir utnyttet i forbindelse med plantingen av den mye omtalte Duqu-trojaneren.
En annen kritisk oppdatering fjerner et sikkerhetsproblem knyttet til ActiveX-kontroller i Internet Explorer, mens en tredje fjerner en sårbarhet som berører Windows Media Player og Windows Media Center.
Alle de tre alvorligste sårbarhetene kan åpne for fjernkjøring av vilkårlig kode.
Det anbefales at samtlige tilgjengelige oppdateringer installeres på systemet så raskt som mulig. For individuelle brukere gjøres dette enklest gjennom Windows Update.
Les også:
- [11.10.2013] Rystet av labre lappesaker
- [09.05.2012] Duqu-sårbarhet dukket opp flere nye steder
- [13.12.2011] Microsoft skal fjerne 20 sårbarheter
- [11.11.2011] Slik oppdager du Duqu
- [19.10.2011] Java-oppdatering for å stoppe BEAST
- [22.09.2011] Kan avlytte «sikker» webtrafikk på ti minutter