Microsoft kom i går med rutinemessige sikkerhetsoppdateringer til flere av selskapets programvareprodukter. Samtidig kom selskapet også med en ny sikkerhetsrapport og et nytt nettsted om nettlesersikkerhet.
I alt kom Microsoft med åtte sikkerhetsoppdateringer i går. Disse fjerner til sammen 22 sårbarheter. De alvorligste sårbarhetene åpner for fjernkjøring av vilkårlig kode.
De to sikkerhetsoppdateringene som Microsoft anser som kritiske, berører henholdsvis Internet Explorer og .NET Framework/Silverlight.
IE-oppdateringen fjerner i alt fem sårbarheter, hvorav minst tre berører IE6 og nyere. IE9 er berørt av fire sårbarheter. Samtlige anses som kritiske.
.NET-oppdateringen fjerner kun én sårbarhet. Den åpner for fjernkjøring av vilkårlig kode på et klientsystem dersom en bruker besøker en spesielt utformet webside med en nettleser som har støtte for XAML Browser Applications (XBAPs) eller Silverlight-applikasjoner.
I alt seks av sikkerhetsoppdateringene berører Windows XP og nyere. De to øvrige berører henholdsvis Microsoft Host Integration Server 2004 SP1 og nyere, og Microsoft Forefront Unified Access Gateway 2010.
Nulldagssårbarheter
Microsoft kom i går også med rapporten Security Intelligence Report (SIR) Volume 11, som tar for seg sikkerhetsrelaterte funn selskapet har gjort via blant annet Malicious Software Removal Tool i første halvdel av 2011.
Rapporten er svært omfattende, men det viktigste funnet ser ut til å være at nulldagssårbarheter i liten grad blir utnyttet. Microsoft beskriver nulldagssårbarheter som sikkerhetshull som utnyttes før leverandøren har fått på plass en sikkerhetsoppdatering.
Ifølge rapporten, som gjengir tall fra Microsoft Malware Protection Center (MMPC), utgjorde angrep mot nulldagssårbarheter under én prosent av det totale antallet angrep mot sårbarheter. De aller fleste angrepene som involverer én eller flere sårbarheter, var rettet mot eldre sårbarheter hvor en sikkerhetsoppdatering var tilgjengelig.
Samtidig skriver Microsoft at bare seks prosent av angrepsforsøkene som har blitt registrert i første halvdel av 2011, involverte sårbarheter i programvaren.
Den mest brukte metoden for å spre skadevare handler ifølge Microsoft om å narre brukeren til å godta noe man ikke burde gå med på. Nesten 45 prosent av installasjonene av skadevare skjer på denne måten, ifølge Microsoft.
Nesten like mange infeksjoner skyldes ifølge Microsoft AutoRun-funksjonalitet ved tilkobling av USB-enheter og delte nettverksdisker.
Microsoft understreker i rapporten at hensikten med den ikke er å bagatellisere faren ved nulldagssårbarheter, men å understreke at det mye annet som utgjør vel så risiko, uten at det får like stor oppmerksomhet, verken i pressen eller i IT-avdelingene.
Nettlesersikkerhet
Det at Microsoft mener at svært mye spredning av skadevare skyldes uforsiktighet av brukerne, kommer også til syne når selskapet promoterer sikkerhetsfunksjonene i Internet Explorer 9. Selskapet mener at nettleseren ligger langt foran konkurrentene på dette området. Men Microsoft møter motbør hos blant annet Google, som viser til undersøkelser som forteller at bare to prosent av alle nettsteder som sprer skadevare, benytter «social engineering», altså å narre brukerne til å installere skadevare. Google mener at «drive-by downloading», altså nedlasting og installasjon som skjer skjult for brukerne ved hjelp av utnyttelse av sårbarheter i nettleseren eller i plugins, er langt mer utbredt.
Microsoft kom i går også med et nytt nettsted som skal råde de besøkende om nettlesersikkert. På nettstedet ramser Microsoft opp en rekke sikkerhetstiltak mot henholdsvis uønsket nedlasting, phishing-nettsteder, angrep mot nettleseren og andre former for angrep via nettsteder. Microsoft har også tatt med noe funksjonalitet som ikke støttes av selskapets egen nettleser.
Via en sjekkliste kan brukere av Chrome og Firefox se hvor mange poeng nettleserne får, sammenlignet med Internet Explorer 9. Microsoft har ikke tatt seg bryet med å inkludere Safari og Opera.
IE9 kommer ut med full poengsum (1 poeng) i hver av alle de fire kategoriene, selv om det er ting nettleseren ikke støtter. Chrome oppnår 2,5 poeng til sammen, mens Firefox får 2 poeng av Microsoft.
Matt Cutts, sjef for webspam-teamet til Google, ser ikke ut til å være så veldig imponert over Microsofts ny nettsted. I et innlegg skriver han blant annet at nettstedet oppgir feil informasjon om hvordan Chrome håndterer usikkert innhold fra HTTPS-sider.
– Hvis jeg skulle designe en målestokk, ville jeg ha valgt noe slik som «oddsene for at en typisk bruker av nettleser X vil bli infisert av skadevare» og prøve å minimalisere disse oddsene. Jeg gjetter på at det er det Chrome-teamet forsøker å gjøre, skriver Cutts.
Les også:
- [07.05.2012] – De største truslene mot norske PC-er
- [19.08.2011] – Sosial skadevare utgjør bare to prosent
- [17.08.2011] – IE9 klart best mot sosial skadevare