Den britiske regerings center for internetsikkerhed har sammen med forskere på universitetet i Oulu i Finland fundet et kritisk sikkerhedshul i den standard, som benyttes til telefoni over internet og andre IP-netværk.
Hullet i H.323-standarden fra International Telecommunications Union betyder, at angribere kan lægge netværk til IP-telefoni ned.
Endnu værre er det dog for Microsoft. Hullet findes nemlig også i Internet Security and Acceleration Server, som igen er en del af Small Business Server-pakken.
Microsoft udsendte i går en rettelse (patch) for at komme problemet til livs. Det er dog ikke helt let at udnytte, for der er tale om et såkaldt bufferoverløb. Lykkes det for en angriber at finde formlen, er det til gengæld muligt helt at overtage kontrollen med Microsoft-systemet.
Microsoft-brugerne behøver vel at mærke ikke selv at benytte IP-telefoni for at være sårbare. Bare standarden er aktiveret og står og lytter efter telefoni-datapakker, så kan angriberne trænge ind på systemet.
- Resultatet er, at en angriber under visse omstændigheder kan få adgang til en fuldstændig tilfældig bruger på systemet, siger sikkerhedschef Stephen Toulouse fra Microsoft til Cnet.
Han tilføjer, at der altid vil være risiko for menneskelige fejl, også i software som er designet til at øge sikkerheden, og roser de finske sikkerhedsforskere for at have fundet fejlen.
Også en række producenter af netværksudstyr er ramt af sikkerhedshullet i standarden for IP-telefoni. Mellem dem er verdens største netværksleverandør, Cisco, som har frigivet en rettelse. Ciscos konkurrenter har travlt med at undersøge alt deres udstyr for at finde ud af, hvad der er sårbart.
Microsoft frigav tirsdag også to andre rettelser. Den ene rammer Exchange, mens den anden findes i Microsoft Data Access Component, som igen er en del af både Windows XP, Windows 2000, SQL Server 2000 og Windows Server 2003. Ingen af de to andre fejl betegner softwareselskabet dog som kritiske.
Relevante links
