Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 29/7/2009
Microsoft har lukket seks sikkerhedshuller i Internet Explorer og Visual Studio. Software fra andre leverandører kan være sårbar, hvis det er udviklet med de sårbare Visual Studio-komponenter.Sikkerhedsrettelserne blev udsendt i går uden for Microsofts normale skema, hvor de udsendes den anden tirsdag i måneden. Årsagen er, at sårbarhederne i Visual Studio regnes for meget alvorlige.
Sårbarhederne ligger i biblioteket Active Template Library (ATL), som udviklere anvender til at skrive Windows-applikationer med. En af sårbarhederne gør det muligt at omgå kill bit-systemet, så en usikker ActiveX-kontrol kan udnyttes i Internet Explorer, selvom dens kill bit er sat.
Da sårbarhederne i ATL kan udnyttes via Internet Explorer, har Microsoft indført særlig beskyttelse mod dem. Derfor er der udsendt en sikkerhedsrettelse til Internet Explorer sammen med den til Visual Studio.
Rettelsen til Internet Explorer indeholder også rettelser af tre sårbarheder, der ikke har relation til ATL-problematikken.
Microsoft opfordrer softwarehuse, der anvender ATL, til at undersøge, om de har udviklet sårbare komponenter. I så fald bør de installere rettelsen til Visual Studio, bygge komponenterne igen og distribuere dem til kunder. Hvis der er behov for at udsende en kill bit til en ActiveX-kontrol, tilbyder Microsoft at gøre det for udviklerne.
Sikkerhedsrettelserne er beskrevet nærmere i disse sikkerhedsbulletiner:
MS09-034: Tre sårbarheder i Internet Explorer giver angribere adgang til at afvikle programkode. Desuden indeholder rettelsen beskyttelse mod udnyttelse af ATL-sårbarhederne.
MS09-035: Tre sårbarheder i Visual Studio Active Template Library giver angribere adgang til at afvikle programkode.
Endvidere har Microsoft udsendt en sikkerhedsadvarsel med yderligere information om ATL-sårbarhederne.