Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 11/12/2013
December måneds 11 sikkerhedsrettelser fra Microsoft lukker 24 sikkerhedshuller, hvoraf flere er alvorlige. Firmaet har også udsendt tre sikkerhedsadvarsler.Fem af rettelserne lukker huller, der har fået firmaets højeste risikovurdering. Det drejer sig om MS13-096 (hul i behandlingen af TIFF-filer i GDI+), MS13-097 (Internet Explorer), MS13-099 (Scripting Runtime), MS13-098 (Windows) og MS13-105 (Exchange Server).
Hullerne i GDI+ og Exchange var kendt, før rettelserne blev udsendt.
De øvrige sårbarheder findes i SharePoint, Windows-drivere, LRPC Client, Office og .Net SignalR.
Som ventet omfatter årets sidste samling sikkerhedsrettelser ikke en til et aktuelt hul i Windows XP. Det ventes lukket senere.
Samtidig med opdateringerne har Microsoft udsendt tre sikkerhedsadvarsler.
Den første gør det muligt for administratorer at forbedre sikkerheden i konfigurationen af ASP.NET.
Den anden er en opdatering til nogle UEFI-moduler (Unified Extensible Firmware Interface), der kun har været brugt til test. Opdateringen trækker deres digitale certifikater tilbage. Den er sandsynligvis kun relevant for nogle få pc-producenter.
Den sidste advarsel opdaterer den indbyggede Flash Player i Internet Explorer.
Anbefaling
Test og installer sikkerhedsopdateringerne. Prioriter eventuelt ud fra Microsofts anbefalinger.
Links
- Omphaloskepsis and the December 2013 Security Update Release, blogindlæg fra Microsoft Security Response Center (MSRC)
- Microsoft Security Bulletin Summary for December 2013
- Assessing risk for the December 2013 security updates, blogindlæg fra Microsoft Security Research & Defense
- Microsoft Security Advisory (2905247): Insecure ASP.NET Site Configuration Could Allow Elevation of Privilege
- MS13-098: Update to enhance the security of Authenticode, blogindlæg fra Microsoft Security Research & Defense