Ny 0-dags sårbarhed rammer Internet Explorer på patchdag

Den nye sårbarhed er ikke blandt dem, der lukkes i Microsofts massive opdateringsrunde.

Netop som Microsoft har udsendt en omfattende pakke med opdateringer til blandt andet webbrowseren Internet Explorer, advarer sikkerhedsfirmaer om et nyt angreb.

Der er ifølge sikkerhedsfirmaerne CSIS og McAfee tale om en ny såkaldt 0-dags sårbarhed i Internet Explorer.

Sårbarheden findes angiveligt også i versioner af Internet Explorer, som er blevet opdateret med de sikkerhedsopdateringer, som Microsoft frigav tirsdag.

Det danske sikkerhedsfirma CSIS vurderer, at det formentligt er med fuldt overlæg, at der bliver frigivet et exploit til den nye sårbarhed, netop på samme dag, som Microsoft udsender opdateringer.

Det giver i teorien folkene bag exploitet mulighed for at udnytte sårbarheden, indtil Microsoft frigiver dets næste runde af månedlige opdateringer den 13. januar.

Ifølge CSIS og McAfee findes sårbarheden i Internet Explorers fortolkning af visse XML-tags. Det kan føre til udførelse af ondsindet programkode i hukommelsen på en sårbar Windows-pc.

Der er fundet flere angreb, som udnytter den nye sårbarhed, hovedsageligt i Kina. Ifølge CSIS er der både tale om angreb, som ser ud til blot at afprøve koden til at udnytte sårbarheden, samt mere ondsindede angreb.

Microsoft har endnu ikke officielt kommenteret på den nye sårbarhed. Selskabet var så sent som i oktober nødt til at udsende en ekstraordinær sikkerhedsopdatering til Windows for at lukke en ny kritisk sårbarhed.

Hvis den seneste sårbarhed viser sig at blive udnyttet i omfattende angreb, vil Microsoft igen kunne blive tvunget til at udsende en opdatering uden for selskabets normale månedlige cyklus. I dette tilfælde vil tidsplanen for test og udrulning dog kunne blive ekstra kompliceret på grund af juleferien.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jesper Henriksen

Den kommentar bærer meget præg af at du ikke har arbejdet i en virksomhed hvor man tester opdateringerne før man implementerer dem. Jeg ville stortset ikke kunne lave andet end at teste opdateringer hvis microsoft frigav opdateringerne ligeså snart de var færdige.

Det skal jo desuden bemærkes at MS i enkelte tilfælde har frigivet opdateringer udenfor deres schedule. Dette har været i tilfælde hvor de mente at det var særligt slemt.

  • 0
  • 0
#4 Deleted User

Kan det så svare sig at opdatere hvis MS alligevel kommer med en ny bundle af patches op mod jul?

På den anden side er største delen af opdateringerne kritiske/alvorlige...Er der nogen der har en vurdering på om det kan svare sig?

  • 0
  • 0
#5 Jesper Henriksen

Jeg tror umiddelbart der snakkes om de mange patches der kom igår på "Patch Tuesday" som er den 2. tirsdag i hver måned hvor MS frigiver deres opdateringer, medmindre det er absolut kritiske opdateringer. Sidstnævnte har vi dog kun haft en enkelt af i nyere tid. Jeg vil mene at det kan svare sig at gennemgå gårsdagens opdateringer for at smide dem på hvis det er funktionelt ja.

  • 0
  • 0
#6 Louis Tim Larsen

@Jesper Henriksen

Hvordan kan det så være, at der så oftest ikke går mere end 2 døgn før en sikkerhedshul er rettet i fx Debian Stable?

Man kan jo bare udgive opdateringer en gang ugentligt i det mindste i stedet for at et system skal være usikkert i op til en måned eller også kunne MS bare udgive opdateringer når de var færdige og så var det op til de enkelte virksomheder om de vil implantere dem ugentligt eller månedligt.

  • 0
  • 0
#7 Christian E. Lysel

Den kommentar bærer meget præg af at du ikke har arbejdet i en virksomhed hvor man tester opdateringerne før man implementerer dem.

Den kommentar bærer meget præg af at du er vant til ustabile opdateringer der skal testes før man implementerer dem. Du er ikke den eneste jeg hører dette fra, og jeg kan selv genkende det i vores Windows miljø, hvor selv funktioner forsvinder for produktet, eller licens regler ændres i en patch.

Forstil dig i stedet, opdateringer var til at stole på og du ikke skulle bruge tid på at teste dem!!

  • 0
  • 0
#8 Jesper Stein Sandal

Forstil dig i stedet, opdateringer var til at stole på og du ikke skulle bruge tid på at teste dem!!

Det skal lige for en god ordens skyld siges, at Microsoft ligesom de øvrige større softwareleverandører har en omfattende testprocedure, som en opdatering skal gennem, før den kan frigives.

Men med eksempelvis en patch til Internet Explorer kan Microsoft af gode grunde ikke sikre sig, at den virker med alle hjemmestrikkede intranetportaler. Derfor er kunderne nødt til at selv at kunne teste, inden de ruller en opdatering ud.

Ugentlige opdateringer er muligvis ok til visse typer applikationer og til private brugere, men der en grund til, at eksempelvis Oracle kører med kvartalsvise opdateringer. Det er for at gøre planlægningen af den sidste fase af kvalitetskontrollen så enkel for kunderne som muligt.

  • 0
  • 0
#9 Peter Stricker

@Jesper Henriksen

Jeg ville stortset ikke kunne lave andet end at teste opdateringer hvis microsoft frigav opdateringerne ligeså snart de var færdige.

Du er ikke den første jeg har hørt udtale sig på den måde, og som simpel bruger kan jeg godt undre mig over: Hvad består sådan en test egentlig af, og hvad er dens formål?

Tester du om alle virksomhedens programmer vil virke efter at opdateringen er blevet installeret, eller er det kun enkelte forretningskritiske browserbaserede applikationer der testes? Og hvis det skulle vise sig, at der er en forretningskritisk applikation der ikke vil virke efter at opdateringen er rullet ud til brugerne, hvilke forholdsregler tager man så?

Jeg kan umiddelbart kun se to muligheder: - foretag opdateringen og bed brugerne om at acceptere at den forretningskritiske applikation ikke længere virker, eller - undlad at opdatere og accepter at man er sårbar overfor exploits med mindre man afskærer brugerne fra at gå på nettet

Jeg ville nok vælge den første løsning, da jeg anser den anden løsning for at være enten dumdristig eller alt for restriktiv. Men eftersom jeg så ville opnå samme resultat som ved at undlade at teste, så går jeg ud fra at du vælger løsning nummer to. Hvis det er tilfældet, hvordan sikrer du dig så mod exploits indtil du er færdig med din test? Cutter du brugernes internetadgang?

  • 0
  • 0
#10 Kasper Revsbech

Der findes jo også noget i midten. Jeg er enig i at ændringer i funktionalitet bør holdes på et minimum uden for de skedullerede ændringer. Hvis man kigger på en "ekstrem" måde som anvendes af blandt andet OpenBSD har du kun ændringer i funktionaliteten hver 6. måned, men kommer der et sikkerheds hul kommer der en patch så hurtigt som muligt. Det syntes jeg er en fornuftig måde. Her kan man planlægge de store skift, og hvis der skulle opstå noget et sikkerhedsbrist har man muligheden for at rette det. NB. Jeg må indrømme at jeg ikke har fingerene i dette til dagligt så det er muligt der er noget jeg overser :)

  • 0
  • 0
#11 Jesper Stein Sandal

Til Peter:

Som regel er der en tredje mulighed: Workarounds. I mange tilfælde vil leverandøren anbefale en alternativ måde til at forhindre, at sikkerhedshullet kan angribes. Det kan være alt fra en kill-bit eller blokering af en port i firewallen til mere komplicerede løsninger. Problemet ved workarounds er, at de kræver lidt mere arbejde at rulle ud end en simpel opdatering.

  • 0
  • 0
#12 Jesper Henriksen

@ Louis Tim Larsen: Jeg skal ikke kunne svare for andet end Windows XP da det er det eneste vi kører i virksomheden, jeg har dog tit haft problemer derhjemme med opdateringer hvis jeg har kørt linux. Typisk skulle man installere drivere eller opsætte netværk igen efter en smule opdateringer, jeg kan dog utroligt godt lide at samtlige programmer på maskinen installeret igennem pakkehåndtering automatisk bliver opdateret. Jo større virksomhed desto gladere er de for at det kun er 1 dag om måneden der kommer opdateringer der skal testes. Det er ikke fordi det er så slemt, men det tager da lidt tid og er ikke ligefrem jordens mest belønnende opgave.

@Christian E. Lysel: Som du ganske rigtigt nævner har jeg været udsat for enkelt patches der ødelagde adskillige andre programmer. I de fleste tilfælde er producenten af 3. parts programmet heldigvis hurtig til at fikse problemet. Du beskriver et drømme scenarie som aldrig vil komme til at eksistere.

@Peter Stricker: Testen foretages på virtual maskine hvor der foretages de mest grundlæggende ting i de kritiske programmer. Formålet er at holde updates der (f.eks. lægger netværket ned fordi alt skal indekseres(Windows Desktop Search)) Jeg kan til slut tilføje at det er ganske få browser baserede applikationer vi har i brug. Jeg fjerner ikke netadgang fra brugeren under test, men er i kontakt med producenten af det pågældende program om problemet. Det skal dog siges at det efterhånden ikke er et problem med opdateringerne mere, det er bare blevet procedure.

  • 0
  • 0
#13 Christian E. Lysel

@Jesper Henriksen: Jeg må have drømt de sidste 12 år.

Nogle systemer er håbløse, andre har jeg aldrig set problemer med.

De håbløse systemer, har bugs i fejlrettelserne, ændret opførelse, ændring af mine indstillinger, ændringer i licens regler.

  • 0
  • 0
Log ind eller Opret konto for at kommentere