Artikel top billede

Microsoft på vej med sin hidtil største opdatering

Du kan vente den hidtil største sikkerhedsopdatering fra Microsoft i næste uge. Den lukker hele 49 sikkerhedshuller i en hel stribe programmer.

Computerworld News Service: Microsoft vil i næste uge udgive hele 16 sikkerhedsopdateringer, der lukker ikke mindre end 49 sårbarheder i Windows, Internet Explorer, Office og SharePoint.
Sikkerhedschef Andrew Storms fra nCircle Security kalder den massive omgang opdateringer "kolossal, igen."

Fire af de 16 opdateringer er kategoriseret af Microsoft som "kritiske," hvilket er den højeste trusselskategori i virksomhedens firetrins-system.

10 andre er markeret som "vigtige," hvilket er den anden højeste kategori, men de sidste to kategoriseres som "moderate."

Skadelig kode

Ni af opdateringerne kan udnyttes af hackere til at placere skadelig kode i sårbare pc'er, oplyser Microsoft i sit som sædvanligt lakoniske sikkerhedsvarsel om opdateringerne, der efter planen vil blive udgivet 12. oktober.

Microsoft kategoriserer ofte sårbarheder angående fjerneksekvering af kode - som ellers er noget af det farligste - som blot "vigtige," når de sårbare komponenter som standard ikke er slået til, eller når andre formildende omstændigheder såsom forsvarsforanstaltninger som ASLR og DEP muligvis vil beskytte visse brugere.

Den kommende Patch Tuesday sætter rekorder på næsten alle tænkelige måder.

Rekordantal

De 16 opdateringer er et rekordhøjt antal og slår den tidligere rekord fra august 2010 med to styks.

De 49 individuelle sårbarheder slår uden problemer den tidligere rekord på 34 på en enkelt måned, som blev sat i oktober 2009 og gentaget i juni og august i år.

Microsoft har på det seneste udsendt skiftevist store og små grupper af rettelser, hvor de større falder i lige måneder, så det store antal i oktober bør ikke komme som nogen overraskelse.

I august udgav virksomheden som allerede påpeget 14 opdateringer, der rettede 34 sårbarheder.

Derimod kom der i september kun ni opdateringer, der rettede 11 fejl.

"Jeg har en teori om det store antal oktober-opdateringer," siger Storm.

Han påpeger, at Microsoft i oktober udgav 13 opdateringer, der rettede 34 sårbarheder i oktober sidste år, og i oktober 2008 12 opdateringer, der rettede 21 sårbarheder.

"Det er den både finansielle og detailmæssige slutspurt ved årets afslutning for mange virksomheder, der låser alting ned i årets sidste to måneder, hvor de ikke opdaterer deres systemer," forklarer han.

12 af de 16 opdateringer er rettet mod Windows i enten desktop- eller serverudgaverne eller i visse tilfælde begge.

To er rettet mod Office - mere specifikt Word og Excel - og retter sandsynligvis en eller flere sårbarheder i filformater fra de to programmer, vurderer Storms.

En af opdateringerne vil imødegå et problem i SharePoint, Microsofts samarbejdssystem til enterprise.  
Denne opdatering af SharePoint vil ifølge sikkerhedsvarslet på en eller anden måde være relateret til Office Web Apps, som er onlineudgaven af Microsoft Word, Excel, PowerPoint og OneNote.

Udover det høje antal opdateringer påpeger Storms også, at adskillige af dem er af udgaver af den nyeste version af Microsofts styresystem, navnlig Windows 7 til desktop og Windows Server 2008 R2 til server.

Begge er blevet opdateret adskillige gange siden lanceringen sidste år.

Ni af de kommende opdateringer vil være af Windows 7 heriblandt alle de fire kritiske.

Også Windows Server 2008 R2 vil modtage ni opdateringer, hvoraf de to er kritiske.

Selv om Microsoft fremhæver Windows 7 som sit sikreste styresystem nogensinde og gerne vil have brugere af Windows XP til at droppe det ni år gamle styresystem og gå over til den nye version, så er færre af næste uges opdateringer af det aldrende XP end af Windows 7. Otte af de 16 opdateringer er af XP, og kun to af de fire kritiske rammer XP.

Den kritiske opdatering af Internet Explorer vil påvirke IE6, IE7 og IE8. Microsoft har ikke svaret på, om virksomheden også vil opdatere IE9, som blev udgivet i en betaversion for tre uger siden.

"Det er en IE-opdatering, der er for syns skyld og fuldstændigt forventet, "siger Storms. Microsoft har rettet Internet Explorer hver anden måned i et stykke tid, og det er to måneder siden sidst.

Microsoft har heller ikke svaret på, om næste uges opdateringer vil inkludere rettelser af sårbarheder, der kan udnyttes ved såkaldte "DLL load hijacking"-angreb.

Oversat af Thomas Bøndergaard




IT-JOB

Rohde & Schwarz Technology Center A/S

FPGA-udvikler

Capgemini Danmark A/S

Cloud Architect

Capgemini Danmark A/S

Network Architect
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere