Microsoft løser kritiske fejl i Windows, Office, Edge, IE, andre produkter

Microsoft har udgivet den første serie sikkerhedsopdateringer til 2016, og de indeholder kritiske rettelser til fejl i ekstern kodekørsel i Windows, Office, Edge, Internet Explorer, Silverlight og Visual Basic.

Virksomheden har også fastsat fjernkørsel og fjernelse af sårbarheder i privilegier i Windows og en adressefejlfejl i Exchange Server, der blev vurderet vigtig, ikke kritisk på grund af forskellige formildende faktorer.

I alt, Microsoft udstedte 9 sikkerhedsbulletiner dækker patches for 24 sårbarheder.

Ifølge Wolfgang Kandek, CTO for sikkerhedsfirmaet Qualys, bør administratorer prioritere MS16-005 sikkerhedsbulletin, især for systemer, der kører Windows Vista, 7 og Server 2008.

Denne patch adresserer en sårbarhed med ekstern kodekørsel spores som CVE-2016-0009, der er blevet offentliggjort, hvilket gør angreb mere sandsynligt.

Den næststørste bulletin ifølge Qualys er MS16-004, der omhandler seks sårbarheder i Microsoft Office. Denne bulletin er kritisk, hvilket har været usædvanligt for Microsoft Office i den seneste tid.

Den skyldige for denne alvorlighedsbedømmelse er en bestemt ekstern kodekørsel sårbarhed sporet som CVE-2016-0010, der er til stede i alle versioner af Office fra 2007 til 2016, selv dem der kører på Mac og Windows RT, sagde Kandek i en blogindlæg.

Forskere fra sikkerhedsselskabet Tripwire mener, at Internet Explorer og Microsoft Edge-patches skal være øverst på prioriteringslisten i stedet for, fordi de adresserer sårbarheder, som kan udnyttes eksternt via ondsindede eller kompromitterede websteder.

Disse patches er dækket af sikkerhedsbulletinerne MS16-001 og MS16-002 og vil blive de sidste, som Internet Explorer-versioner 8 og 10 nogensinde vil modtage. IE 9 vil fortsat blive understøttet på Windows Vista og Windows Server 2008 SP2.

"Mange virksomheder skal bruge ældre versioner af IE inden for deres omgivelser på grund af meget dyre, gamle webapplikationer, der bruger forældet teknologi," sagde Lane Thames, sikkerhedsforsker på Tripwire via e-mail. "Organisationer, som stadig er afhængige af gamle programmer, der kræver disse ældre IE-versioner, skal flyttes på passende vis."

Virksomheder, der bruger Outlook Web Access (OWA), bør også prioritere MS16-010. Selv om denne bulletin kun er vigtig af Microsoft, kan sårbarheden det dække, tillade angribere at lancere såkaldte business e-mail compromise (BEC) angreb.

Sådanne angreb har kostet virksomheder rundt om i verden $ 1.2 milliarder, ifølge statistikker offentliggjort i august af FBI's Internet Crime Complaint Center (IC3). Det indebærer angribere, der bringer forretningsmails, eller spoofing-emailadresser, til at instruere medarbejdere og forretningspartnere til at indlede uautoriserede overførsler.

Endelig bør MS16-006-bulletinen, der omhandler en sårbarhed i Silverlight, også være på prioritetslisten, fordi fejlen kunne muliggøre fjernkørsel af kode ved hjælp af browser plug-in. Attackere er kendt for at have brugt Silverlight udnytter tidligere.

Denne måneds opdateringer var også de sidste til Windows 8, som Microsoft ikke længere støtter fremadrettet. Windows 8-brugere skal opgradere til Windows 8.1 eller 10 for at kunne fortsætte med at modtage sikkerhedsrettelser.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.