Microsoft kom i går med fire sikkerhetsfikser som til sammen fjerner ni sårbarheter i selskapets programvare. Men ingen av disse sårbarhetene regnes som veldig alvorlige. I alle fall ikke sammenlignet med den Access-relaterte sårbarheten som ble oppdaget for få dager siden.
Sårbarhetene som er blitt fjernet, finnes i ulike utgaver av Windows, samt i Exchange Server og SQL Server.
Den ene sikkerhetsfiksen skal rette noen problemer knyttet DNS-cachen i Windows, som kan utnyttes av ondsinnede til å legge igjen forfalskede oppføringer. Dette kan lede brukerne til feilaktige nettsteder som kanskje benyttes i phishingforsøk.
Flere melder om problemer med denne sikkerhetsfiksen. En digi.no-leser med Windows XP skriver i en e-post at han ikke kom på nett etter at denne oppdateringen ble installert. Løsningen var å fjerne den igjen. Andre skriver at oppdateringen ikke fungerer sammen med brannmuren ZoneAlarm.
En annen sårbarhet skyldes en feil i Windows Explorer/Utforsker under behandlingen av lagrede søkefiler (.search-ms) under selve lagringen. Dette kan utnyttes av ondsinnede til få mulighet til å kjøre vilkårlig kode på systemet, ved å lokke brukere til å åpne og deretter lagre spesielt sammensatte filer av denne typen.
Exchange
Exchange-sårbarhetene er knyttet til Outlook Web Access (OWA) i Exchange 2003 og 2007 og skyldes mangelfull validering av HTML i e-postmeldingene og av visse e-postfelter. Dette kan åpne for kjøring av vilkårlig HTML og skriptkode i arbeidsøkten i brukerens nettleser, noe som kan brukes til å avdekke fortrolig informasjon.
Sårbarheten skal dog ikke gjelde i OWA Premium.
De resterende sårbarhetene finnes i SQL Server 2000 og 2005, samt i Microsoft Data Engine (MSDE) 1.0. Disse åpner for kjøring av vilkårlig kode med eskalerte privilegier og kan i alle fall utnyttes til å avdekke sensitiv informasjon.
Mer informasjon om sårbarhetene og sikkerhetsoppdateringene finnes på denne siden.
Les også:
- [11.08.2008] DNS-fiksen har selv et stort sikkerhetshull
- [01.08.2008] Halve Internett fortsatt truet av sårbar DNS
- [11.07.2008] Hemmelig samarbeid reddet DNS-serverne
- [09.07.2008] Alvorlig feil i eldre Word
- [08.07.2008] Alvorlig ActiveX-sårbarhet i Access
