Computerworld News Service: Microsoft har udsendt de sidste otte planlagte opdateringer for 2008, som imødegår 28 sårbarheder - heriblandt en kritisk fejl i det nye søgeværktøj i Vista og Windows Server 2008.
Seks ud af de otte opdateringer beskrives som "kritiske" og de to sidste som "vigtige."
Antallet af sikkerhedsopdateringer fra Microsoft for 2008 løber således op i 77.
En af de vigtige opdateringer, MS08-076, retter et antal sårbarheder, der tilsammen giver en kritisk sårbarhed, hedder det i en meddelelse, som Microsoft har givet til leverandører af sikkerhedssoftware.
Microsoft baserer dog ikke sine risikovurderinger på kombinationer af fejl, men kun på individuelle fejl.
Denne sårbarhed er på linje med den, der blev rettet af sidste måneds udgivelse af MS08-068, som gjorde det muligt for en hacker at stjæle et kodeord og bruge det til at logge på en brugers computer og således have fuld kontrol over den.
Den fejl var næsten syv år gammel, før Microsoft i sidste måned rettede den.
Sårbarhederne i Vista og Windows Server 2008, der rettes af MS08-075, er fremtrædende, da den berørte søgekomponent er udviklet helt fra bunden til netop disse platforme under Microsofts nye tiltag om at udvikle sikker kode.
Eksperter siger dog, at risikoen for udnyttelse af dette sikkerhedshul tilsyneladende er lav.
"Det viser, at man stadig kan løbe ind i problemer med selv nyere kode, der bliver grundigt gransket af sikkerhedsholdet hos Microsoft, og hvor udviklerne fastholdelse på procedurer for sikker kode," siger Wolfgang Kandek, som er teknologidirektør hos Qualys.
Alt i alt er opdateringerne fra december mere rettet mod brugermaskiner - bærbare og desktops - end mod servere.
"For de, der administrerer desktops, bliver det en travl måned," siger Eric Schultze, teknologidirektør hos Shavlik Technologies.
Denne omgang af rettede sårbarheder inkluderer også en ny fejl i GDI, som er den Windows-komponent, der sørger for, at der kan vises grafiske objekter.
"Udnyttelsesrisikoen er meget høj," siger Amol Sarwate, som er leder af sårbarhedsanalyselaboratoriet hos Qualys.
"Man behøver ikke gøre andet end at se et billede på en skadelig webside. Og da sårbarheden er direkte i styresystemet, er alle Windows-computere udsat for denne sårbarhed."
Ifølge Sarwate er MS08-070 også interessant for erhvervsbrugere, da dele af et angreb kan udføres via DLL'er, der bruges af tredjepartsapplikationer.
Fejlen er her at finde i Visual Basic og andre udviklingskomponenter.
"Hvis man udvikler en applikation, der bruger disse DLL'er, så overfører denne applikation de sårbare DLL'er til klient-systemet," siger Kandek og fortæller, at uafhængige softwareleverandører er nødt til at opdatere deres egne applikationer.
Paul Henry, som er sikkerheds- og teknisk analytiker hos Lumension, siger, at hele denne gruppe af opdateringer repræsenterer "alvorlige problemer, der skal rettes omgående. Det er overordentligt svært at prioritere mellem dem."
13 af de 28 sårbarheder har fået den stærkeste vurdering på Microsofts nye "udnyttelsesindeks."
En vurdering på "1" betyder, at sårbarheden er et attraktivt mål for hackere, da de kan skabe kode, der konsekvent kan udnytte sårbarheden.
Microsoft udgav tirsdag også en såkaldt security advisory for at informere brugere om, at virksomheden er i gang med at undersøge tilbagemeldinger om sårbarheder i værktøjet WordPad Text Converter til Word 97-filer på Windows 2000 SP4, Windows Server 2003 SP1 og Windows Server 2003 SP2.
Oversat af Thomas Bøndergaard
