Artikel top billede

Microsoft klar med nye sikkerhedsopdateringer

Microsoft udsender tirsdag seks sikkerhedsopdateringer til Windows og Office - det er kun halvt så mange som i sidste måned.

Computerworld News Service: Tirsdagens sikkerhedsopdateringer vil tilsammen lukke 15 separate sårbarheder, skriver Microsoft på sin blog security response center.

"Seks er lykketallet i denne måned," siger Andrew Storms, der er sikkerhedsleder hos nCircle Network Security.

"Faktisk så er alt under 13 et lykketal i denne sammenhæng."

I sidste måned udsendte Microsoft 13 sikkerhedsopdateringer, der lukkede 34 sårbarheder, hvilket er rekorden, siden virksomheden begyndte at udsende de månedlige sikkerhedsopdateringer for mere end seks år siden.

De seks kommende opdateringer vil dog dele rekorden som det højeste antal, der nogensinde er udsendt i november, der traditionelt er en let måned, når det kommer til opdateringer fra Microsoft. I november 2006 udsendte Microsoft også seks sikkerhedsopdateringer. I november 2007 og 2008 udsendte virksomheden kun to, og i 2005 blev det kun til en enkelt.

Ud af de seks kommende opdateringer har tre af dem fået betegnelsen "kritisk", hvilket er den alvorligste vurdering af sikkerhedsrisiko i vurderingssystemet, der har fire trin. De resterende tre opdateringer betegnes "vigtige", hvilket er den næstlaveste vurdering. Fire ud af de seks opdateringer påvirker en eller flere udgaver af Windows eller Windows Server, de andre to påvirker Word og Excel fra Office-pakken.

Da der ikke er nogen uafklarede såkaldte security advisories fra Microsoft, kan Storm ikke svare på, hvad de kommende opdateringer vil rette.

"Men Bulletin 1 ser interessant ud," siger han og bemærker, at den kritiske opdatering kun påvirker Vista og Server 2008.

"Historisk set forventer man, at en opdatering af Vista også rammer XP og måske endda Windows 7," forklarer Storms.

Ingen af opdateringerne er af Microsofts nyligt udgivne styresystemer, Windows 7 eller Windows Server 2008 R2. I sidste måned udsendte Microsoft de første sikkerhedsopdateringer af Windows 7's endelige kode.

"Der er slet ingen opdateringer til Windows 7," siger Storms og tilføjer, at det lover godt.

Det vil dog kunne betale sig at holde øje med Windows 7.

"Som tiden går, bliver det interessant at se, om Microsoft går tilbage og retter fejl i de ældre styresystemer, som virksomheden fandt og rettede under udviklingen af Windows 7."

En anden af opdateringerne at være opmærksom på er den, som Microsoft kalder "Bulletin 3" i sin nyeste forhåndsmeddelelse om sikkerhedsbulletiner, som kun indeholder de mest overordnede informationer.

Denne opdatering, der også betegnes kritisk, rammer alle versioner fra det aldrende Windows 2000 til Vista og Windows Server 2008. "Jeg tror, at Bulletin 3 er den store i denne omgang," siger Storms.

Det er en anden analytiker enig i.

"Vores kilder melder enstemmigt, at Bulletin 3 er den vigtigste for denne måned," skriver Sheldon Malm, som er seniorleder for sikkerhedsstrategi hos Rapid7, i en e-mail.

"Man bør gøre sig det klart, hvor forskellige Windows-versioner er i sit miljø, så man kan planlægge test og udrulning af opdateringen fra Bulletin 3 så hurtigt som muligt."

Åbenhed hjælper planlægningen

De to opdateringer af Office, der begge betegnes som vigtige, vil rette problemer i Word og Excel. Den første opdatering vil være af Word 2002 og Word 2003 på Windows og af Word 2004 og Word 2008 på Mac. Excel-opdateringen vil rette et eller flere problemer i Excel 2002, Excel 2003 og Excel 2007 på Windows og Excel 2004 og Excel 2008 på Mac.

"Office-opdateringerne er interessante, men baseret på hvad Microsoft nu fortæller, så regner jeg med, at de vil være af den slags filformats-fejl, som vi kender og elsker," siger Storms.

Sårbarheder i Office-filformaterne har udgjort en sand skattekiste for hackere, som med succes har udnyttet dem i årevis. I sidste uge erkendte Microsoft, at størstedelen af angrebene mod Office i første halvdel af 2009 var målrettet en enkelt sårbarhed, som virksomheden lukkede i juni 2006.

Dette er anden måned i træk, hvor Microsoft på forhånd har offentliggjort ikke kun antallet af kommende opdateringer men også antallet af fejl, som disse opdateringer vil rette. Og det er god ting, mener Storms.

"Det er rigtig godt. Det hjælper i planlægningen, da man ellers ikke kan vide, om seks bulletiner dækker over seks sårbarheder eller over 20," siger han.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere