De første sikkerhedshuller i Microsoft er fundet. Selvom der er tale om to fejl, som ikke kan udnyttes af hackere udefra, så er det alligevel en løftet pegefinger om, at Service Pack 2 ikke er nogen magisk kur mod sikkerhedsproblemer.
Det er det tyske magasin Heise Security, som har fundet sikkerhedshullerne, som begge er relateret til opdelingen af pc'en i forskellige sikkerhedszoner under Windows XP.
Microsoft vurderer, at der ikke er tale om sikkerhedshuller, der er tilstrækkelig alvorlige til at kræve en opdatering eller særskilt advarsel.
Første varsel
Alligevel ser redaktør og sikkerhedsekspert Jürgen Schmidt fra Heise Security sikkerhedshullerne som det første varsel om, at der i øjeblikket er foregår en omfattende jagt på sikkerhedshuller i Service Pack 2.
- Service Pack 2 vil ikke gøre en ende på alle virusser. Brugerne er nødt til at være klar over, at de nye sikkerhedsfunktioner i Service Pack 2 ikke er fuldstændigt vandtætte, siger han.
Microsoft har med de såkaldte sikkerhedszoner forsøgt at imødegå problemet med, at de fleste Windows-brugere er logget på pc'en med udvidede rettigheder. Derfor kan brugerne installere nye programmer og skrive til filer på harddisken.
Andre styresystemer som eksempelvis Unix har i stedet valgt at begrænse de almindelige brugeres adgang til systemet. En Unix-bruger kan reelt kun forvolde skade på sin egen lille del af systemet, fordi den fulde systemadgang er begrænset til en særlig administrator-bruger.
Microsoft har truffet et andet designvalg, som hackere ofte har haft held til at krybe udenom på grund af sikkerhedshuller.
Microsoft inddeler pc'en i forskellige zoner: En lokal zone, en zone for lokalnetværket og en zone for internettet.
I en verden uden sikkerhedshuller ville zoneopdelingen betyde, at programmer, som eksempelvis aktiveres fra internettet gennem Internet Explorer, kun kunne få yderst begrænset adgang til systemet uden brugerens accept.
Med Service Pack 2 til Windows XP har Microsoft strammet op på sikkerheden omkring zoneopdelingen af pc'en. Nu får enhver fil, som downloades fra internettet, et særligt ZoneID, som lagres på pc'en.
På den måde kan systemet huske, hvor en fil kommer fra. Det skulle i teorien gøre det vanskeligere at omgå zoneopdelingen
Forsinkelse omgår sikkerhed
De to sikkerhedshuller, som Heise Security har fundet, drejer sig netop om det nye ZoneID.
Det ene problem betyder, at Windows i visse tilfælde ikke kontrollerer en downloadet fils ZoneID. Eksempelvis tjekker systemet ikke, om en fil stammer fra en usikker zone, hvis den åbnes via kommandoprompten i Windows XP.
Det kan ikke umiddelbart udnyttes til at bygge ondsindet kode omkring, da det vil kræve, at brugeren aktivt "hjælper" hackeren, eller at hackeren allerede har adgang til systemet.
Det andet sikkerhedshul opstår, når en fil omdøbes. Det kan lade sig gøre at omdøbe en fil, så der går et lille stykke tid, før ZoneID'et opdateres med det nye filnavn.
Denne forsinkelse kan udnyttes til at omgå de advarsler, som brugeren ellers ville få i forbindelse med en programfil, som stammer fra internettet.
Microsoft undersøger endnu et hul
Microsoft oplyser, at selskabet i øjeblikket er ved at analysere et andet muligt sikkerhedshul i Service Pack 2's beskyttelse mod afvikling af vedhæftede programfiler.
Microsoft frigav i sidste uge den første endelige version af Service Pack 2 til storkunder, som har brug for at distribuere opdateringen over et netværk til mange klienter.
Den engelsksprogede opdatering til privatkunder med Windows XP Home Edition har været tilgængelig via Microsofts automatiske patch-tjeneste Windows Update siden mandag.
De danske kunder må formentligt vente endnu et par uger, før den dansksprogede Service Pack 2 er klar.
Microsoft har ligeledes udsat den den automatiske udrulning af opgraderingen til brugerne af Windows XP Professional, fordi softwaregiganten var blevet bestormet af kunder, som bad om mere tid til at slå den automatiske opdatering fra.
Det ønske kommer på baggrund af, at flere virksomheder endnu ikke har testet deres forretningssoftware med Windows-opdateringen eller ikke har rettet især de webbaserede applikationer, så de fungerer med Service Pack 2's nye sikkerhedsindstillinger.
