Microsoft lukker syv sikkerhedshuller

Artiklen blev oprindeligt publiceret den 16/10/2003

Den første månedlige samling af sikkerhedsrettelser fra Microsoft indeholder programrettelser til syv sårbarheder: Fem i Windows og to i Exchange Server.

I sidste uge offentliggjorde Microsoft, at firmaet fremover kun vil udsende programrettelser en gang om måneden. Undtaget er dog særligt alvorlige sårbarheder. Oktobers samling af rettelser er nu kommet. Den består af følgende sikkerhedsbulletiner:

• MS03-041: En sårbarhed i Authenticode-beskyttelsen af Activex-komponenter, der kan give en angriber mulighed for at installere en Activex-komponent, uden at offeret bliver spurgt.
• MS03-042: Et bufferoverløb i Activex-kontrollen Microsoft Local Troubleshooter, der tillader en angriber at afvikle programkode på offerets pc.
• MS03-043: Et bufferoverløb i Messenger Service, der tillader en angriber at afvikle programkode på offerets pc.
• MS03-044: Et bufferoverløb i Hjælp og support-funktionen, der tillader en angriber at afvikle programkode på offerets pc.
• MS03-045: Et bufferoverløb i Listbox- og Combobox-kontrollerne, der giver en lokal angriber kontrol over pc'en.
• MS03-046: En sårbarhed i internet-mail-delen af Exchange Server, der gør det muligt at sætte systemet ud af drift eller få afviklet kode på det.
• MS03-047: En sårbarhed i Outlook Web Access på Exchange Server, der giver en angriber mulighed for at få afviklet programkode.

Sikkerhedsfirmaet Pivx har afprøvet rettelserne og har foreløbig ikke fundet installationsproblemer. Firmaet venter, at hackere meget hurtigt vil udvikle angrebsprogrammer, der udnytter sårbarheden i MS03-043, da Windows Messenger Service som standard er slået til i de fleste Windows-installationer.

Links

• Microsofts sikkerhedsrettelser til Windows, MS03-041 til MS03-045
• MS03-046: Sårbarhed i internet-mail i Exchange
• MS03-047:Sårbarhed i Outlook Web Access