Gigantoppdatering fra Microsoft

Gigantoppdatering fra Microsoft

Stålsetter seg for hackerkonkurranse, og tetter tre kritiske hull.

Microsoft slapp en haug oppdateringer under denne månedens lappetirsdag.

I alt 12 oppdateringer tar seg av 22 hull i Windows, Internet Explorer, Office og Internet Information Server.

En sikkerhetsekspert tror Microsoft slapp en spesielt fyldig lappepakke for å unngå pinlige øyeblikk under hackekonkurransen Pwn2Own som starter om få uker. Her skal nettlesere som kjører på Windows 7 få kjørt seg.

- Jeg tror spesielt at sikkerhetsoppdateringen MS11-009 er utviklet for å hindre at sikkerhetsforskere utnytter en sårbarhet i Jscript og Vbscript som brekkstang for å forbigå sikkerheten i Windows 7 under Pwn2Own, sier Andrew Storms, sikkerhetssjef i Ncircle Security til Computerworlds nyhetstjeneste.

Tre kritiske oppdateringer

MS11-003 dekker fire svakheter i Internet Explorer. To av disse ble kjent før jul, og utnyttes aktivt med angrepskode som ligger fritt tilgjengelig på nettet. Oppdateringen regnes som kritisk for IE 6, 7 og 8 på Windows-klienter og moderat på Windows servere. En angriper kan utnytte sårbarhetene ved å lure en bruker til å besøke spesielt utformede nettsider, eller om en bruker åpner en lovlig HTML-fil som laster en spesielt utformet bibliotekfil, ifølge Telenors sikkerhetssenter.

MS11-006 skal fjerne en sårbarhet i Windows Shell grafikkprosessor, som kan føre til kjøring av vilkårlig kode, med samme rettigheter som innlogget bruker. Sårbarheten kan utnyttes ved å lure en bruker til å laste et spesielt utformet thumbnail bilde. Angrepskode er allerede fritt tilgjengelig på Internett.

MS11-007 retter en svakhet i Opentype Compact Font Format (CFF)-driveren. Hackere kan få kontroll på maskinen ved å lure brukeren til å laste inn en ondsinnet CFF-font.

Også viktige

- Brukere bør installere MS11-003 og MS11-006 umiddelbart siden begge adresserer zero-day sårbarheter, mener Jason Miller, sikkerhetssjef i Shavlik Technologies.

De ni andre oppdateringene er karakterisert som viktige, Microsofts nest høyeste trusselvurdering. Sikkerhetsfiksene dekker alt fra Jscript og Vbscript, IIS og Active Directory, til sårbarheter i Visio og Windows-kjernen.

Oppdateringene kan lastes ned og installeres via Microsoft Update og Windows Update, eller Windows Server Update.

Les om:

Sikkerhet