Microsoft fjernet denne uken en rekke sårbarheter fra selskapets produkter. I ettertid har det vist seg at i alle fall to av disse sårbarhetene ikke har vært helt ordinære. Digi.no har allerede omtalt den ene av disse.
Den andre sårbarheten som er spesielt verdt å nevne, er kanskje enda mer oppsiktsvekkende enn den første. Ikke bare på grunn av hva den åpner for, men fordi den har eksistert så lenge.
Den aktuelle sårbarheten er knyttet til Microsoft Windows Object Linking and Embedding (OLE), en teknologi Microsoft tok i bruk allerede i 1990. Sårbarheten anses som svært alvorlig og åpner for fjernkjøring av vilkårlig kode.
IBM X-Force Research, som er gruppen som oppdaget sårbarheter, er ikke sikre på hvor gammel sårbarheten egentlig er, men den skal i alle fall eksistere i den opprinnelige koden til Windows 95, som kom for 19 år siden. Fjernutnyttelse skal dog først ha blitt mulig med Internet Explorer 3, som i 1996 introduserte Visual Basic Script (VBScript).
Ifølge IBMs Security Intelligence-nettsted gjør sårbarheten det mulig å omgå både EPM-sandkassen (Enhanced Protected Mode) i Internet Explorer og beskyttelsesverktøyet Enhanced Mitigation Experience Toolkit (EMET). Den skal gi mulighet for pålitelige drive-by-angrep, altså nedlasting og installasjon av skadevare uten brukerinnvirkning.
IBM X-Force Research oppdaget sårbarheten i mai i år.
– Denne sårbarheten har vært fullt synlig i lang tid, til tross for at mange andre feil har blitt oppdaget og patchet i det samme Windows-biblioteket, OleAut32, skriver Security Intelligence.
Sårbarheten har nå blitt fjernet i Windows Server 2003, Windows Vista og nyere utgaver av Microsoft operativsystemet. Den vil ikke bli fjernet fra Windows XP og eldre Windows-utgaver.
Argumentet om at åpen kildekode fører til at sårbarheter oppdages tidligere, fikk en smule slagside da det ble kjent at Shellshock-sårbarheten i Bash hadde eksistert i minst 20 år, uten å bli oppdaget. Nå demonstrerer Microsoft at sårbarheter kan eksistere like lenge i lukket kildekode, vedlikeholdt at et kommersielt selskap.
Konklusjonen må være at være at så godt som all programvare inneholder feil, og at man aldri må slutte å lete etter dem.
Les også:
- [12.11.2014] Egen SSL-sårbarhet i Windows
- [10.11.2014] Kjempeoppdatering fra Microsoft
- [25.09.2014] Linux og OS X rammet av kritisk sårbarhet