Mindst ni Microsoft-produkter indeholder kode fra programbiblioteket zlib, der indeholder et sikkerhedshul som i værste fald kan give en angriber fuld kontrol over systemet. Det amerikanske Computer Emergency Response Team (CERT) udsendte i begyndelsen af denne uge en advarsel om en alvorlig fejl i zlib-biblioteket, der anvendes i næsten enhver udgave af Linux samt hundredevis af programmer.
Biblioteket er frigivet under en open-source licens, som betyder at softwarefirmaer frit kan indbygge dele af koden i deres egne programmer. Og noget tyder på at Microsoft har gjort flittigt brug af biblioteket. Medlemmer af open-source projektet Gzip har udarbejdet en liste over 600 programmer, som bruger zlib, og heriblandt findes ni programmer fra Microsoft.
De ni programmer på listen er DirectX 8, FrontPage, Graphics Device Interface (GDI+), InstallShield, Internet Explorer, Office, NetShow, Visual Studio og Messenger. GDI+ er en fast integreret del af Microsofts nyeste operativsystem Windows XP.
Det betyder dog ikke automatisk, at alle ni programmer indeholder sikkerhedshullet. En talsmand for Microsoft siger til CNET, at firmaets sikkerhedseksperter er ved at undersøge om fejlen i zlib har betydning for Microsofts programmer.
Sårbarheden i zlib kan udnyttes ved at skabe en speciel datapakke med ugyldige data, der får zlib til at frigøre det samme område i hukommelsen to gange. Det kan få programmet til at gå ned eller - i værste fald - tillade angriberen at afvikle kode på pc'en, der giver fuld kontrol over systemet.
Læs også:
Link:
(Kilde: CNET)
