Microsoft gir ut kritiske sikkerhetsoppdateringer for IE og Windows

Lesetid: 1 minutt

En serie sikkerhetsoppdateringer som ble utgitt av Microsoft 11. mars, inneholdt reparasjoner for en kritisk sikkerhetsfeil i Internet Explorer 9 og 10 og de neste siste oppdateringene for Windows XP.

Internet Explorer "zero day" utnyttelse ble rapportert i januar i fjor da sikkerhetsfirmaet FireEye først identifiserte den tidligere ukjente "Zero Day Exploit" som kompromitterte nettstedet for Veterans for Foreign Wars, vfw.org. Ifølge FireEye kompromisserte angriperne nettsiden og la til en iFrame, en innebygd ramme, som laster inn en side som inneholder JavaScript og en Flash-animasjon infisert med skadelig programvare. Sidebrukere ble deretter omdirigert til et eksternt nettsted der en komplett nyttelast med skadelig programvare ble lastet ned og utført på datamaskinene deres.

Et interessant aspekt ved dette angrepet er at en Windows-anti-utnyttelsesfunksjon, Address Space Random Layout (ASRL), ble overvunnet ved hjelp av Adobes Flash Action Script som lastet den infiserte animasjonen i minnet.

Dette er også den nest siste sikkerhetsoppdateringen for Windows XP og Office 2003, selv om ingenting relatert til office var inkludert. Oppdateringene inkluderer rettelser for fire sårbarheter i Windows XP. Se følgende oppdateringsbulletiner fra Microsoft for detaljer:

MS14-012: Kumulativ sikkerhetsoppdatering for Internet Explorer (2925418)
MS14-013: Sårbarhet i Microsoft DirectShow kan tillate ekstern kjøring av kode (2929961)
MS14-014: Sårbarheter i Windows-kjernemodusdriver kan tillate rettighetsutvidelse (2930275)
MS14-015: Sårbarhet i Security Account Manager Remote (SAMR) Protocol kan tillate forbikobling av sikkerhetsfunksjoner (2934418)
MS14-016: Sårbarhet i Silverlight kan tillate forbikobling av sikkerhetsfunksjoner (2932677)

START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS