Microsoft nødlapper hull

Microsoft nødlapper hull

IE og Visual Studio lappes utenfor rytmen. Sikkerhetssjefen i Microsoft Norge sier oppdateringen er viktig.

Microsofts neste lapping av sikkerhetshull var forventet å komme 11. august, som neste i rekken av de tradisjonelle lappetirsdagene.

Men nå kommer det plutselig sikkerhetsrelaterte lappesaker før skjema. Blant annet skal et kritisk hull i Internet Explorer lappes, melder vår nyhetstjeneste. I tillegg skal et hull av «moderat» viktighet lappes i Visual Studio.

Lappesakene skal rulles ut førstkommende tirsdag, og Microsoft har ikke sagt nøyaktig hva som vil bli fikset. Selskapet pleier ikke vanligvis rulle ut slike oppdateringer utenfor rytmen, med mindre det er overhengende fare for at sikkerhetshullene kan utnyttes av nettkjeltringer.

LES OGSÅ OPPDATERT SAK:

Her er feilen som blir nødlappet

Microsoft har ikke kommet med noen begrunnelse for å gå utenfor rytmen, men det kan hende at de ønsker å slå sikkerhetskonferansen Black Hat i forkjøpet. Den startet lørdag, og på agendaen står blant annet nettlesersikkerhet.

Underliggende hull

Ifølge Computerworld USA ser det ut til at feilen ligger i en Windows-komponent kalt Active Template Library (ATL).

Sikkerhetsforsker Thomas Dullien (som går under pseudonym Halvar Blake) mener samme hull er årsaken til et hull i Active X, som Microsoft fant tidligere i måneden. Det kom en fiks for problemet 14. juli, men Blake tror ikke denne lappingen fikset opp i det underliggende problemet.

Dullien, som er forskningssjef i Zynamics Gmbh, og hans venn Dennis Elser har dykket ned i Active X-hullet som ble funnet tidligere i måneden. De har funnet ut at feilen stammer fra en enkel programmeringsfeil i en funksjon kalt «ATL: CComvariant::Readfromstream», fra msvidctl.dll-filen som strømmer videoinnhold. Mer om feilen og om feilsøkingen kan leses i Dulliens blogg.

- Kan ha gitt utslag i tredjeparts applikasjoner

Til tross for at Microsoft fikset feilen i Active X, kan feilen ifølge sikkerhetsforskerne også vise seg i andre Windows-filer, og også gjøre utslag i tredjeparts applikasjoner. De tror den plutselige sikkerhetsoppdateringen til Microsoft kan ha sammenheng med dette.

- Hullet er egentlig mye «dypere» enn hva folk flest innser. Microsoft kan ved et uhell ha skapt sikkerhetshull i tredjeparts applikasjoner, har Dullien skrevet i sin blogg.

Ifølge Brian Kerbs fra Washington Post skal Dullien ha blitt oppringt av Microsoft og bedt om å ikke kommentere sikkerhetsproblematikken ytterligere. Verken Dullien eller Elser har etter dette kommentert saken ytterligere overfor Computerworld USA.

Andre sikkerhetsforskere har enten avstått fra å kommentere, eller gått ut ifra at Dullien trolig har rett.

- Kan medføre mye arbeid

Uansett mener forskningssjef i AVG Technologies, Roger Thompson, at it-ansvarlige bør prioritere lapping neste uke.

- Jeg tror ikke jeg kan kommentere dette spesifikt, men når Microsoft kommer med en slik lapping utenfor rytmen, bør folk følge med og lappe så snart de kan, sier han.

- Hvis hva Dullien sier i bloggen er noe i nærheten av korrekt, og hvis hans telefon fra Microsoft er troverdig, har både brukere og Microsoft-partnere mye arbeid foran seg, sier Andrew Storms, sikkerhetsoperasjonsdirektør i Ncircle.

Storms vil likevel råde bedriftskunder til å avvente litt, for å se hva programvareleverandørene har å si. Hvis leverandørene bruker funksjoner som er basert på den påståtte feilen, kan det få konsekvenser når de lappes, mener han.

- Mer info på tirsdag

Han er blant de som har en mistanke om at timingen for lappingen også kan ha sammenheng med konferansen Black Hat, der profesjonelle sikkerhetsfolk, som Dullien, skal samles. Thompson fra AVG er enig.

- Jeg tror det er viktig å se hva som kommer ut av Black Hat. Jeg vet virkelig ikke om noe, men jeg er rimelig sikker på at hackere hacker, sier han.

- Mer kan sies tirsdag, da lappesakene dukker opp, sier Storms.

- Viktig å oppdatere

Ole Tom Seierstad, sikkerhetssjef i Microsoft Norge, sier årsaken til det foreløpige hemmelighetskremmeriet rundt sikkerhetsfeilen er å minke faren for misbruk. Han kjenner imidlertid ikke til Microsoft-telefonstamtalen som angivelig har dukket opp på telefonen til Dullien, men understreker at det er viktig for Microsoft at informasjon som kommer ut er korrekt.

- Det finnes mange sikkerhetseksperter som mener mye om slikt, og det er ikke alltid de har hele historien. Det kan være greit å dobbeltsjekke hvem «ekspertene» er, sier han, men medgir samtidig at «Halvard Blake» er et kjent navn innnen it-sikkerhetsbransjen.

Seierstad anbefaler folk å oppdatere maskinen når lappesakene slippes på nett.

- Når vi kommer med en «out-of-band» (oppdatering utenfor rytmen, journ.anm.), er det viktig at oppdateringene blir tatt i bruk så fort som mulig. Det betyr at vi ser aktivitet på nettet som tilsvarer at problemene kan eskalere, slik vi så med Conficker og MS 08-067-oppdateringen. Da er det kjempeviktig at man tar de nødvendige forholdsregler, sier han.

- Men nå er det sommerferie, hvordan tror du det vil påvirke oppdateringene ute i bedriftsnorge?

- Ferie er et problem, men jeg tror de aller fleste i bedriftsnorge har beredskap til å ta tak i tingene. De fleste stenger ikke helt, og de som stenger helt vil uansett ikke være eksponert. Og hjemmebrukere som ikke er hjemme har forhåpentlig ikke på maskinen 24 timer i døgnet, så de vil få automatisk oppdatering når de kommer hjem.

Rett etter patchene dukker opp, vil Microsoft holde en nettoverført briefing om hullene. Det skjer et sted mellom klokka 19 og 21, norsk tid.

Enterprise