Computerworld News Service: I går var det den anden tirsdag i 2010, hvilket betyder, at det var den anden tirsdag i januar, og det gjorde det til Patch Tuesday, dagen hvor Microsoft udsender sin månedlige sikkerhedsopdatering.
Microsoft tog pænt imod det ny år og udsendte kun en enkelt sikkerhedsbulletin.
En tynd måned fra Microsoft
Microsoft security bulletin MS10-001 beskriver en sårbarhed i den indlejrede font-engine Open Type.
Sårbarheden vurderes som af kritisk risiko for Windows 2000 men kun som af lav risiko for alle andre versioner af Windows.
Tyler Reguly, som er senior security engineer hos nCircle, karakteriserer Microsofts opdatering som mere eller mindre triviel.
"Velkommen til en langsom start på det ny år. En enkelt opdatering og så ikke engang en interessant en af slagsen. Alle sikkerhedsopdateringer skal selvfølgelig tages alvorligt, men dette er bestemt ikke en ildebrand, der skal slukkes hurtigst muligt, den kan uden problemer falde ind i den almindelige opdateringscyklus."
Director of security hos nCircle, Andrew Storms, foreslår, at man investerer, de kræfter man normalt bruger på at vurdere og implementere opdateringer, til andre og vigtigere formål.
"Dette er en meget tynd Patch Tuesday fra Microsoft, og it-sikkerhedsafdelingerne bør udnytte situationen til at få ordnet opgaver, de er bagefter med. Brug tiden denne måned på at finde alle de forældede Microsoft-systemer, og installer de nødvendige opdateringer af alle sårbarhederne fra 2009."
Storms tilføjer dog, at "en af de kendte fejl, der ikke blev rettet i denne måned, er en SMB-denial of service-sårbarhed, der har stået åben siden midt i november. Da Microsoft har ladet denne sårbarhed være så længe, står det nu klart, at truslen ikke er så alvorlig, som mange frygtede."
Adobe og Oracle går ind i kampen
Selvom Adobe og Oracle ikke følger den samme sikkerhedsopdaterings-cyklus som Microsoft, så udgav begge virksomheder tilfældigvis selv kritiske opdateringer i går.
Adobe udsendte sin kvartårlige opdatering, som denne gang retter en 0-dagssårbarhed i Adobe Reader, der er blevet aktivt udnyttet siden jul. Som en midlertidig løsning anbefalede Adobe, at sortliste den JavaScript-funktion, der blev udnyttet.
Storms fra nCircle bemærker, at "Adobe PDF, der engang blev anset for at være det sikreste dokumentformat, er blevet offer for en række alvorlige sikkerhedstrusler. Efter et massivt år med sikkerhedsproblemer, er der sået alvorlige tvivl om Adobes produktsikkerhed og sikkerhed i forbindelse med produktudvikling. Det er ironisk at tænke på, at vi muligvis er nået til det punkt, hvor Microsoft Office-dokumenter nu er mere sikre end PDF-dokumenter."
Storms giver også en kommentar til den anbefalede workaround fra Adobe: "En del af kontroversen omkring denne sårbarhed har været den midlertidige løsning, som Adobe rådede folk til at bruge, som inkluderede, at man slog JavaScript fra. Sikkerhedsproblemerne i forbindelse med JavaScript og Adobe har efterladt en masse mennesker med spørgsmålet om, hvorfor JavaScript overhovedet er inkluderet i Adobes PDF-produkter."
Wolfgang Kandek, der er teknologidirektør for Qualys forklarer yderligere: "Muligheden for at sortliste er en funktion, som Adobe introducerede i virksomhedens sidste opdatering til Adobe Reader 9 og 8 i oktober 2009, og det er ikke sikkert, at særlig mange it-administratorer kender funktionen ordentligt endnu. En alternativ anbefaling er at slå JavaScript helt fra i Adobe Reader - JavaScript spillede en hovedrolle i udnyttelsen af Adobe Reader i 2009, så dette ville være en god forebyggende og beskyttende foranstaltning. Men da dette vil slå funktionalitet fra, som brugerne potentielt har brug for, er det nødvendigt, at it-administratorerne evaluerer de individuelle situationer."
Oracle er også med til festen og har udrullet sin egen kvartårlige sikkerhedsopdatering.
Oracles opdatering indeholder samlet set 24 rettelser af syv forskellige produkter. De fleste af disse sårbarheder kan udnyttes via fjernadgang uden autentifikation, hvilket redder dem en vurdering som kritiske sikkerhedsrisici.
Database-servere bør ikke være blotlagte overfor netværket, men det er nødvendigt, at it-administratorerne nøje gransker de ramte applikations-servere, for at vurdere hvor stor risiko serverne er udsat for.
0-dagssårbarheder
Kandek fra Qualys bemærker også, at det russiske sikkerhedsanalysefirma Intevydis i sidste uge meddelte planer om at offentliggøre server-baserede 0-dagssårbarheder i løbet af de næste tre uger. "De første to er blevet offentliggjorte og har medfølgende såkaldte proof-of-concept-kode til Sun Directory Server 7.0 og Tivoli Directory Server 6.2. Vi følger nøje disse offentliggørelser og vil holde jer opdaterede med de fremtidige udviklinger."
Oversat af Thomas Bøndergaard
