Den andre tirsdagen i hver måned utgir Microsoft sikkerhetsoppdateringer til selskapets programvare. Gårsdagen var intet unntak. Da kom selskapet med 11 forskjellige sikkerhetsoppdateringer som i alt skal fjerne 21 ulike sårbarheter, riktignok fordelt på produktene Windows, Host Integration Server, Internet Explorer, Office og en del produkter med funksjonalitet hentet fra Office.
Ifølge sikkerhetsselskapet Secunia fjerner tre av sikkerhetsoppdateringene sårbarheter som selskapet anser som kritiske. Dette er sårbarheter som åpner for full systemtilgang og kjøring av vilkårlig kode.
En rekke av sårbarhetene finnes i samtlige utgaver av Internet Explorer som Microsoft fortsatt støtter. Flere av sårbarhetene får nettleseren til å aksessere ikke-initialisert minne via en spesielt utformet webside.
I en rekke utgaver av Excel, i tillegg til Excel Viewer og SharePoint Server 2007 er flere alvorlige sårbarheter blitt fjernet. Disse kan utnyttes via en spesielt utformet fil til å forårsake overflytsfeil eller korrumpere minnet. Dette kan potensielt utnyttes til å kompromittere en brukers system.
Den siste av oppdateringene Secunia mener er kritiske, gjelder en overflytseil innen IPP (Internet Printing Protocol) ISAPI-utvidelsen til Internet Information Services (IIS). Feilen er knyttet til prosesseringen av spesielt utformede IPP-responser. Dette kan ifølge Secunia utnyttes til å kjøre vilkårlig kode ved å narre en berørt webserver til å koble seg til en ondsinnet IPP-server via en spesielt utformet HTTP POST-spørring.
Vellykket utnyttelse krever dog at IPP er aktivert i IIS.
En oversikt over alle sikkerhetsoppdateringene finnes på denne siden. De fleste av oppdateringene er tilgjengelige gjennom Microsoft Update.
Det er også mulig å få tilsendt Microsofts sikkerhetsbulletin per e-post. Dette gjøres via denne siden.
Les også:
- [01.09.2009] Har offentliggjort angrepskode mot IIS
- [23.10.2008] Microsoft med ekstremt kritisk feilfiks
- [10.10.2008] Mange sikkerhetsfikser til både Windows og Mac