Microsoft kom i går med sikkerhetsoppdateringer til selskapets programvare. I alt dreier det seg om ni programvareoppdateringer som fjerner i alt 16 sårbarheter.
Blant sårbarhetene som fjernes, er den tidligere omtalte sårbarheten i Microsoft XML Core Services, som allerede har blitt utnyttet i aktive angrep i minst en måned. Microsoft har likevel ikke vurdert den som så alvorlig at det har vært nødvendig med en ekstraordinær utgivelse av sikkerhetsfiksen. Men oppdateringen anses likevel for å være kritisk.
Det samme gjelder to andre sikkerhetsoppdateringer. Den ene fjerner to sårbarheter i Internet Explorer, som skyldes svakheter i hvordan Internet Explorer håndterer objekter i minnet. Utnyttelse av sårbarhetene kan åpne for fjernkjøring av vilkårlig kode via spesielt utformede websider.
Kritisk er også sårbarheten som nå fjernes fra Microsoft Data Access Components. Også her er det svakheter i måte objekter håndteres i minnet, noe som gir angripere de samme muligheter som med sårbarhetene som nå fjernes fra IE.
De øvrige seks sikkerhetsoppdateringene fjerner sårbarheter som ikke anses som like alvorlig. Disse finnes i henholdsvis Windows, SharePoint og Windows SharePoint Services, Office for Windows og Office for Mac.
En oversikt over alle sikkerhetsoppdateringene finnes her.
I tillegg til sikkerhetsoppdateringene, kunngjorde Microsoft to andre, sikkerhetsrelaterte nyheter i går.
Det ene er at Windows ikke lenger vil godta sertifikater som har RSA-nøkler med mindre enn 1024 bits lengde. Etter en oppdatering til Windows som kommer i en august, vil slike sertifikater bli behandlet som ugyldige, selv om de er signert av en tiltrodd sertifikatautoritet.
I den andre kunngjøringen fortelles det at Microsoft har gitt ut et Fix it-verktøy som gjør det mulig for systemadministratorer å deaktivere Windows Sidebar og Gadgets i Windows Vista og Windows 7 på alle maskinene i virksomheten. Denne utgivelsen skyldes dels at ikke alle slike gadgets følger sikker kodepraksis, og dels at Microsoft er i ferd med å fase ut hele ordningen, inkludert Windows Gadget Gallery.
Mer informasjon om kunngjøringene finnes her.
Les også:
- [19.06.2012] Har gitt ut ny angrepskode til IE
- [15.06.2012] Kaprer Gmail-kontoer via IE
- [13.06.2012] Angriper XML-sårbarhet i Windows
- [08.06.2012] Alvorlige sårbarheter i Windows
