Microsoft tetter kritisk MP3-hull

Microsoft tetter kritisk MP3-hull

Ukens sikkerhetsoppdateringer fra Microsoft fikser blant annet hull relatert til mediafiler og nettsider.

Ved siden av å rette kritiske feil relatert til smittede mediafiler og skumle nettsider, fikser tirsdagens sikkerhetsoppdateringer fra Microsoft også feil relatert til trådløse nettverk og TCP/IP.

Selskapet har imidlertid ikke sluppet noen oppdatering som retter opp i et sikkerhetshull relatert til FTP. Feilen i FTP-komponenten i Microsoft Internet Information Service benyttes allerede av hackere, men blir ikke fikset i denne omgang. Dermed bør du ta en titt på Microsofts forslag til metoder for å hindre angrep her.

To av oppdateringene, MS09-045 og MS09-046, fikser hull som kan gjøre det mulig å kjøre en hvilken som helst kommando på en utsatt Windows-pc via ondsinnet kode skjult på nettsider. Den første av oppdateringene tar for seg flere feil Jscript-motoren og er klassifisert som kritisk for Windows 2000, XP, Server 2003, Vista og Server 2008-brukere.

Den andre oppdateringen tetter et hull i DHTML Editing Component ActiveX-kontrollen, og betegnes som kritisk viktig for brukere med Windows 2000 og XP. Denne filen påvirker ikke Windows Vista eller Server 2008.

Kritisk hull i musikkfiler

En tredje fiks tetter et kritisk hull relatert til Windows Media. Denne feilen kan gjøre det mulig å ta kontrollen over en pc som har spilt av en mp3, wma eller wmv-fil med skjult, ondsinnet kode. Fiksen, MS09-047, er betegnet som kritisk for maskiner med forskjellige kombinasjoner av Windows Runtime eller Windows Media Services på Windows 2000, XP, Server 2003, Vista og Server 2008. I forklaringen fra Microsoft kan du lese mer om hvilke kombinasjoner av tjenester og operativsystem som er utsatt. Itanium-baserte tjenere med Windows Server 2003 med Service Pack 2 eller Server 2008 er ikke i faresonen for å påvirkes av denne feilen.

Fiks nummer fire, MS09-048, er klassifisert som kritisk for Windows Vista og Server 2008, og tar for seg en feil som lar angripere bruke TPC/IP-pakker som en del av et angrep. En brannvegg er ment å tett hullet ved å stoppe TCP/IP-pakker fra ukjente kilder på nettet. Maskiner med Vista og Server 2008 kan i verste fall tas over av angripere som utnytter denne feilen. Feilen kan også utgjøre en fare for systemer med Server 2003 og Windows 2000, men etter alt å dømme vil et slikt angrep kun føre til at maskinene krasjer, ikke at angriperne får kontroll. Microsoft kommer ikke med noen fiks for dette problemet til maskiner med Windows 2000, ettersom dette ifølge selskapet ville innebære at store deler av operativsystemet måtte skrives om.

Den siste kritiske fiksen denne uken, MS09-049, retter opp i en feil relatert til en autokonfigureringsservice for trådløse nettverk. Ved å sende spesialtilpassede pakker via det trådløse nettet kan angripere ta kontroll over utsatte Windows Vista og Server 2008-maskiner. Det er kun Vista og Server 2008 som er i faresonen, og det er videre kun maskiner med trådløst nettverk som er åpne for angrep via dette hullet.

Enterprise