Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 11/1/2006
Januars samling af sikkerhedsrettelser fra Microsoft løser alvorlige problemer med sikkerheden i Windows, Outlook og Exchange.Den første sårbarhed er beskrevet i sikkerhedsbulletin MS06-002. Den ligger i behandlingen af indlejrede skrifttyper på websider. En angriber kan udnytte sårbarheden ved at udarbejde en webside, der indeholder en skrifttype, som er udformet på en særlig måde. Hvis han kan lokke sit offer til at besøge websiden, kan der blive udført programkode på offerets pc.
Den anden sårbarhed, der omtales i bulletin MS06-003, findes i mail-serverprogrammet Exchange og postprogrammet Outlook. Desuden er også Multilingual User Interface Packs ramt, de bruges på systemer, der ikke har engelsk som standardsprog. Sårbarheden ligger i behandlingen af mails i formatet Transport Neutral Encapsulation (TNEF). Det er et Microsoft-format til behandling af mails i formatet RTF (Rich Text Format).
En angriber kan udnytte sårbarheden ved at udarbejde en mail i TNEF-format på en særlig måde. Når offeret læser mailen, kan der blive afviklet programkode på hans computer. Det samme kan ske, hvis en Exchange-server modtager og behandler den skadelige mail.
Microsoft kender ikke til eksempler på, at sårbarhederne er blevet udnyttet i praksis.
Man kan hente rettelsesprogrammerne fra sikkerhedsbulletinerne, via Windows Update, Microsoft Update eller gennem Automatiske opdateringer.