Computerworld News Service: Microsofts fire kritiske sikkerhedsopdateringer vil it-administratorer kam til deres hår.
De fire opdateringer skal lappe sårbarheder hovedsagligt i Windows-styresystemet til både servere og klienter, heriblandt en sårbarhed, der påvirker hele 42 versioner af forskellige Microsoft-produkter.
"Administratorer vil få noget at se til med at finde ud af hvilke opdateringer, som hvilke maskiner har behov for, for at få 100 procent beskyttelse," siger Eric Schultze, CTO for Shaylik Technologies.
Omfanget af MS08-052 gør den til den værste af de fire sårbarheder, som Microsoft udgav opdateringer til i går på den månedlige "Patch Tuesday" (som er anden tirsdag i hver måned), da den berører et så stort antal software og åbner et så dybt sikkerhedshul i Windows, som den gør.
"052 lukker fem sikkerhedshuller og påvirker kernen i styresystemet," siger Amol Sarwate, leder af sårbarhedsanalyseafdelingen hos Qualys.
"Den påvirker billedfilformaterne .bmp, .wmf og .gif, og en angriber kan enten sende sådanne filer som vedhæftelser i e-mails eller få et offer til at besøge et skadelig website."
Brugere behøver ikke at gøre andet end at besøge en internetside med et skadeligt billede på for at blive hacket.
MS08-052 modificerer den måde, hvorpå Microsoft Windows GDI+ håndterer visningen af skadelige billeder.
DGI+ er en klassebaseret API til C/C++ programmører, der gør, at applikationer kan bruge grafik og formateret tekst på både skærmen og en printer.
Påvirker adskillige versioner af Internet Explorer
Denne opdatering påvirker adskillige versioner af Internet Explorer, .Net Framework, Windows XP og Vista, Windows Server 2003 og 2008, Office 2003 og 2007, Visio, SQL Server, Visual Studio og anden software fra Microsoft.
Schultze fra Shavlik peger også på, at tredjepartsleverandører licenserer GDI+ fra Microsoft, så administratorer i erhvervslivet kan opleve, at andre af deres softwareleverandører udgiver sikkerhedsopdateringer til deres sårbare versioner af GDI+.
"Sådanne tredjepartsprodukter kommer ikke til at blive dækket af disse opdateringer," siger Shultze.
Blandt de andre opdateringer fra Microsoft finder man MS08-055, som lukker en sårbarhed i Office OneNote 2007. For at blive hacket, skal en bruger blot klikke på en specialfremstillet OneNote URL.
Eksperter mener, at de to resterende opdateringer, MS08-053 og MS08-054, er mindre kritiske.
MS08-053 lukker sårbarheder i Windows Media Encoder 9 Series, der lader en hacker at udnytte en specialfremstillet internetside. MS08-054 retter et problem med Windows Media Player 11, og den måde hvorpå den håndterer lydfiler, der bliver streamet fra en playlist på en server.
Oversat af Thomas Bøndergaard
