Fikset alvorlig feil i Outlook

Fikset alvorlig feil i Outlook

Bare å se på en infisert epost i Outlook er nok til å bli smittet.

11 svakheter fordelt på tre ulike oppdateringer ble i går lappet av Microsoft.

Kun en av svakhetene var karakterisert som "kritisk", Microsofts høyeste trusselkategori i en skala med fire nivåer, mens de resterende ti ble regnet som "viktige".

Den mest alvorlige var en svakhet i Microsoft Outlook, som har gjort systemene svært utsatt for hackere.

Denne svakheten er en RTF-parser (rich text format) inne i Microsoft Office epostsystem, og det eneste som skal til for å aktivere sårbarheten er at brukeren mottar og ser på en farlig epost.

- Den som skremmer meg mest er Outlook-oppdateringen. RTF-svakheten kan settes i gang rett og slett ved å se på en beskjed i Outlook, så alt du trenger å gjøre er å motta en farlig beskjed, så er spillet over, forteller sikkerhetssjef Andrew Storms ved Circle Security til Computerworlds nyhetstjeneste.

Anbefaler å oppgradere

Gårsdagens lapp var den første kritiske oppdateringen for Office 2010, som ble lansert i sommer. Oppdateringene fra Microsoft dekker også Office XP, 2003 og 2007, i tillegg til Microsofts' programvare for Apple-maskiner, Office for Mac 2004, 2008 og 2011.

Både Office 2007 og 2010 har vært spesielt utsatt for svakheten i Outlook, og representanter for Microsoft har rådet sine brukere til å oppdatere til en lappet versjon så fort som mulig.

- Denne typen angrep krever ingen handlinger fra brukeren. RTF er et vanlig dokumentformat, som PDF, som ikke blokkeres av brannmurer eller epostens sikkerhetssystemer. Så fort en farlig beskjed mottas på Outlooks forhåndsvisningsfelt kan en fjernkode settes i gang. Du burde lappe dette så fort som mulig, råder Jason Miller fra Shavlik Technologies.

Siden svakheten krever så lite før den settes i gang frykter Miller den vil utnyttes av dataskurker ganske umiddelbart.

Manuell oppdatering

Et par svakheter ved Powerpoint for Office XP og 2003 ble også tatt hånd om av gårsdagens lappesaker, i tillegg til fire feil i Microsofts virtuelle nettverkssystem Forefont Unified Access Gateway (UAG).

I motsetning til de andre lappene må UAG-lappene oppdateres manuelt fra selskapets nettsider, heller enn gjennom Microsofts vanlige oppdateringskanaler. Dette skal skyldes at selskapet ikke har hatt tid til å teste lappeleveringssystemet for UAG.

Les om: