Kritiske lapper fra Apple og Microsoft

Apples operativsystem Leopard, også kjent som 10.5, lapper i dag 15 sårbarheter i tre Java-versjoner i kjølvannet av ting Java-selskapet Sun fikset for én måned siden. Nå får Leopard samme Java-utgave som blodferske Snow Leopard, 10.6, skriver Computerworld USA.

Apple har ikke for vane å gradere sikkerhetsvarslene sine inn i nivåer etter skadelighet, og gjør det heller ikke denne gangen, men hullene er det Microsoft ville omtalt som «kritiske», ettersom de kan la angripere kjøre ondsinnet kode på Mac-en.

- Å besøke en nettside med en ondsinne Java-applet kan føre til kjøring av arbitrær kode med tilgangsnivået til den innloggede brukeren, sier Apple i sin forklaring på hvordan et slikt angrep kunne sett ut.

Imidlertid har Apple, som har sin egen Java-versjon og dermed selv er ansvarlig for å lappe sammen slike hull, ikke i denne omgang lappet Java-hullene Sun tettet 11. august. Heller ikke Snow Leopard får oppdatert til siste Java-versjon i denne omgang.

Windows-lapping

Også Windows-selskapet Microsoft lapper. Den kommende tirsdagen kommer fem oppdateringer Microsoft ranker som «kritiske», som er den høyeste alvorlighetsgraden selskapet har i sin skala.

Men i motsetning til vanlig praksis oppgir ikke Microsoft i denne omgang nøyaktig hva som lappes foreløpig. Men Andrew Storms fra Ncircle Network Security spekulerer gjerne i hva det kan være:

- Det kan være en ny ATL-oppdatering. Det ville ikke komme som noen overraskelse om Microsoft fremdeles hadde ATL-hull å fikse, sier han.

Det såkalte ATL-hullet han snakker om, et hull i biblioteket Active Template Library, ble nødlappet i juli og har forårsaket en kjedereaksjon der også tredjeparts programvare, som benytter seg av biblioteket, har måttet gå gjennom egen kode. Blant annet Adobe har kommet med fikser til programvare der ATL-feilen har vært innebygd.

Fire av de fem oppdateringene gjelder Vista og Windows Server 2008. Men også Windows 2000, XP og Server 2003 vil få sikkerhetsoppdateringer.

Verken Storms eller andre analytikere forventer at hullet i webserveren Internet Information Service (IIS) blir lappet i denne omgang. Hullet ble nettopp avdekket, og Storms og analytikerkoret tror rett og slett ikke Microsoft rekker å lappe det innen oppdateringsslipp tirsdag.

Adobe også i gang

Adobe avgjorde i juni at de skulle komme med oppdateringer på fast basis, slik mange andre store selskaper gjør, i stedet for å feilrette nå og da. Dette fordi det i så fall blir lettere for store bedrifter å planlegge når de skal lappe. En gang i kvartalet var planen.

Men deres andre kvartalsoppdatering i historien blir nå forsinket. Sikkerhetsteamet i selskapet fikk det rett og slett for hektisk i juli, i kampen mot to hull. ATL-hullet måtte tettes og angripere var allerede svært så aktive med å utnytte hull i Flash og Reader-programvaren.

- Da vi hadde brannøvelsen i juli og jobbet med å få de viktige lappesakene ut utenfor syklusen, påvirket det selve syklusen, sier Brad Arkin, direktør for produktsikkerhet og personvern.

ATL-hullet tok mye ressurser ettersom Adobe måtte bla gjennom kildekoden sin for å finne alle programmene som baserte seg på biblioteket med hull. Ifølge Arkin var det over 200 programmer som måtte tittes gjennom.

Så i stedet for å komme i september, vil Adobes kvartaloppdatering dukke opp 13. oktober, på samme dag som Microsofts lappetirsdag for oktober.