Microsoft har repareret seks sårbarheder i Internet Explorer og Visual Studio med den første ikke-planlagte sikkerhedsopdatering siden oktober, hvor Conficker-ormen skabte ravage.
Den ene opdatering, MS09-034, retter tre "kritiske" sårbarheder i Internet Explorer, mens den anden opdatering, MS09-035, retter tre "moderate" sårbarheder i Active Template Library (ATL), som anvendes af Visual Studio.
Fejl i udviklerbibliotek spredt
De tre "moderate" sårbarheder i ATL er paradoksalt nok den største trussel.
Det skyldes, at ATL anvendes af Microsoft og et ukendt antal store og små softwarehuse til at udvikle ActiveX-kontroller.
Et library som ATL indeholder færdigkodede funktioner, som udviklere kan anvende i deres egen software.
En bug i ATL betyder, at udviklerens færdige softwareprodukt - en ActiveX-kontrol eller en .dll-fil - også kan indeholde fejlen
"En library-sårbarhed er en kompleks problemstilling, som kræver vidstpændende foranstaltninger at håndtere," siger Mike Reavey, direktør for Microsoft's Security Response Center (MSRC).
"Library-problemer er svære at håndtere og kræver en masse samarbejde for at blive løst..."
Udviklere skal checke deres kontroller
Microsoft opfordrer da også udviklere til at checke deres kode.
"Microsoft anbefaler på det kraftigste, at udviklere som har bygget kontroller eller komponenter med ATL, omgående evaluerer hvorvidt deres kontroller er sårbare og følger vejledningen til at udvikle kontroller og komponenter som ikke er sårbare," skriver Microsoft i et usædvanlig ekstra medfølgende sikkerhedsråd hvor risici for udviklere, IT-profesionelle og forbrugere beskrives.
Patchen til Internet Explorer blokerer ifølge Microsoft alle kendte sårbarheder.
"MS09-034 blokerer alle kendte angreb mens de (sårbare kontroller og komponenter) opdateres af deres udviklere," siger Mike Reavey til IDG News Service.
IE-patch blokerer kendte sårbarheder
Mike Reavey indrømmer, at Internet Explorer-patchen ikke blokerer alle sårbare ActiveX-kontroller, men i stedet for checkes det, om kontrollerne anvender specifikke metoder som forårsager sårbarheder. Kontroller som anvender de metoder blokeres.
Den forsvarsmekanisme beskrives kun vagt af Microsoftsom kalder det en "ny dybdegående forsvarsteknologi (defense-in-depth) teknologi."
Microsoft har hidtil anvendt en killbit-mekanisme til at deaktivere sårbare ActiveX-kontroller. Som rapporteret i Computerworld i går, er det dog muligt at omgå killbit-mekanismen.
Ifølge Microsofts ekstra sikkerhedsmelding er muligheden for at omgå killbit-mekanismen ikke længere til stede med IE-patchen.
Microsoft er igang med at undersøge hvilke af virksomhedens mange softwarekomponenter og - kontroller, der anvender det fejlbehæftede library.
Opdateringerne kan downloades og installeres via Microsoft Update og Windows Update services samt Windows Server Update Services.
