Lappeboom gir it-sjefer hodepine

Lappeboom gir it-sjefer hodepine

Microsoft, Apple og Mozilla har lappet drøssevis med hull. Og det er mer i vente.

På den faste lappetirsdagen i går delte Microsoft ut ni lappesaker, hvorav fem merket kritiske, for å tette totalt 19 hull, hvorav 15 kritiske. Av de ni lappesakene er det bare ett sett som ikke gjelder selve Windows. Andre retter seg mot Office, Visual Studio, Isa Server og Biztalk Server.

Microsofts lapping i går er siste i rekken av et realt lapperaid den siste tiden. Forrige uke var det Apple som var på banen, da de lappet 18 sårbarheter i Mac Os X og samtidig kom med et sett lappesaker for å dekke over Iphones sms-hull.

Og rett før det igjen var Mozilla på banen med tre fikser til Firefox. Som om ikke det er nok - uken før det kom det nødlappesaker fra Microsoft, utenfor den månedlige lappetirsdagsrytmen, for å fikse feil i Internet Explorer og Visual Studio for å slå sikkerhetskonferansen Black Hat i forkjøpet, ettersom konferansen hadde det berørte hullet på agendaen.

Lapping, lapping, lapping

Det er rett og slett mye lapping om dagen.

- Den tunge lappesakslasten vi ser fra større leverandører øker arbeidsmengden for folk som jobber innen it. Personlig forventer jeg å se noe fra Oracle etter Oracle-hackerverktøyet som ble sluppet på Black Hat, sier Paul Henry, sikkerhetsanalytiker i Lumension.

Han mener all lappingen vil få stor innvirkning på svært mange it-systemer. Mange av dem krever omstart.

Teknisk direktør i Qualys, Jonathan Bitle, tror Windows-melodiene fra tirsdag vil fortsette å spille videre.

- Jeg tror vi vil fortsette å se dette, selv med sikkerhetsutviklingssyklusen Microsoft implementerte for noen få år siden, og selv i Windows 7. Tirsdag ble til og med Windows Server 2008 berørt. Så du må forvente at selv om koden i Windows 7 ikke deles mye, vil vi fortsette å se sårbarheter. Dette er verdens mest utbredte programvare, sier han.

Ti år gamle Activex-kontrollere

Bitle legger til at det for tiden finnes ti hull uten fiks som berører alt fra Windows til Office og Internet Explorer, og sju av dem er kritiske. Det er mer på blokka til Microsoft, med andre ord.

- Jeg kan ikke si mer om dem, ettersom de ikke er allment kjent foreløpig.

Han anbefaler it-administratorer å først fokusere på lappesakene merket MS09-043, MS09-037 og MS09-038 fra denne tirsdagen.

037-lappesaken kapper sammen en feil i Active Template Library. David Dewey fra IBM var en av de som oppdaget feilen, og han anbefaler folk å se nøye på denne.

- Saken er at utviklere har inkludert denne feilkoden i ActiveX-kontrollere i over ti år. Resultatet er utallige mengder sårbare kontrollere som har blitt utviklet av tredjepart og som brukes av allmennheten. Microsoft har gjort en flott jobb med å gi detaljene utviklerne trenger for å fikse potensielt sårbare kontrollere, men ansvaret ligger nå på utviklere for å fikse feilene.

For administratorer med Wins-servere, er MS09-037 også en stygging.

- Skurkene peker og skyter noen pakker på Wins-servern, og vips kan de kjøre kode etter eget valg på serveren, sier tenisk direktør i Shavlik Technologies, Eric Schultze, som legger til at et slikt angrep mest trolig kommer fra innsiden av brannmuren.

Les om: