Microsoft fjerner mer enn 20 sårbarheter

Microsoft kom i går med 11 nye sikkerhetsfikser til selskapet programvare. Flere regnes som kritiske.

Harald BrombachHarald BrombachNyhetsleder
15. okt. 2008 - 11:19

Den andre tirsdagen i hver måned utgir Microsoft sikkerhetsoppdateringer til selskapets programvare. Gårsdagen var intet unntak. Da kom selskapet med 11 forskjellige sikkerhetsoppdateringer som i alt skal fjerne 21 ulike sårbarheter, riktignok fordelt på produktene Windows, Host Integration Server, Internet Explorer, Office og en del produkter med funksjonalitet hentet fra Office.

Ifølge sikkerhetsselskapet Secunia fjerner tre av sikkerhetsoppdateringene sårbarheter som selskapet anser som kritiske. Dette er sårbarheter som åpner for full systemtilgang og kjøring av vilkårlig kode.

En rekke av sårbarhetene finnes i samtlige utgaver av Internet Explorer som Microsoft fortsatt støtter. Flere av sårbarhetene får nettleseren til å aksessere ikke-initialisert minne via en spesielt utformet webside.

I en rekke utgaver av Excel, i tillegg til Excel Viewer og SharePoint Server 2007 er flere alvorlige sårbarheter blitt fjernet. Disse kan utnyttes via en spesielt utformet fil til å forårsake overflytsfeil eller korrumpere minnet. Dette kan potensielt utnyttes til å kompromittere en brukers system.

Den siste av oppdateringene Secunia mener er kritiske, gjelder en overflytseil innen IPP (Internet Printing Protocol) ISAPI-utvidelsen til Internet Information Services (IIS). Feilen er knyttet til prosesseringen av spesielt utformede IPP-responser. Dette kan ifølge Secunia utnyttes til å kjøre vilkårlig kode ved å narre en berørt webserver til å koble seg til en ondsinnet IPP-server via en spesielt utformet HTTP POST-spørring.

Vellykket utnyttelse krever dog at IPP er aktivert i IIS.

En oversikt over alle sikkerhetsoppdateringene finnes på denne siden. De fleste av oppdateringene er tilgjengelige gjennom Microsoft Update.

Det er også mulig å få tilsendt Microsofts sikkerhetsbulletin per e-post. Dette gjøres via denne siden.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.