Microsoft udgiver kritiske sikkerhedsopdateringer til IE og Windows

Læsetid: 1 minut

En række sikkerhedsopdateringer fra Microsoft den 11. marts inkluderede rettelser til en kritisk sikkerhedsfejl i Internet Explorer 9 og 10 og de næstsidste opdateringer til Windows XP.

Internet Explorer "zero day"-udnyttelsen blev rapporteret i januar sidste år, da sikkerhedsfirmaet FireEye første gang identificerede den hidtil ukendte "Zero Day Exploit", der kompromitterede webstedet for Veterans for Foreign Wars, vfw.org. Ifølge FireEye kompromitterede angriberne websiden og tilføjede en iFrame, en inline-ramme, som indlæser en side, der indeholder JavaScript og en Flash-animation inficeret med malware. Sidebrugere blev derefter omdirigeret til et eksternt websted, hvor en komplet nyttelast af malware blev downloadet og udført på deres computere.

Et interessant aspekt af dette angreb er, at en Windows anti-udnyttelsesfunktion, Address Space Random Layout (ASRL), blev overvundet ved hjælp af Adobes Flash Action Script, som indlæste den inficerede animation i hukommelsen.

Dette er også den næstsidste sikkerhedsopdatering til Windows XP og Office 2003, selvom intet relateret til office var inkluderet. Opdateringerne inkluderer rettelser til fire sårbarheder i Windows XP. Se følgende Microsoft-opdateringsbulletiner for detaljer:

MS14-012: Kumulativ sikkerhedsopdatering til Internet Explorer (2925418)
MS14-013: Sårbarhed i Microsoft DirectShow kan tillade fjernudførelse af kode (2929961)
MS14-014: Sårbarheder i Windows Kernel-Mode Driver kan tillade forhøjelse af privilegier (2930275)
MS14-015: Sårbarhed i SAMR-protokol (Security Account Manager Remote) kan tillade omgåelse af sikkerhedsfunktioner (2934418)
MS14-016: Sårbarhed i Silverlight kan tillade omgåelse af sikkerhedsfunktioner (2932677)

START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS