Otte af de 17 rettelser lukker huller, som Microsoft regner for kritiske. Flere af dem har været kendt, inden rettelserne kom, så angribere har mulighed for at udnytte dem.
Det gælder blandt andet en sårbarhed i grafikmodulet GDI. Sårbarhedsfirmaet Qualys giver denne rettelse den højeste prioritet blandt marts måneds rettelser.
Også den kendte sårbarhed i SMB (Server Message Block) bliver fjernet med de nye rettelser.
Tre alvorlige sårbarheder i Internet Explorer og Edge blev offentliggjort af Google tidligere på måneden. De er nu rettet.
Sikkerhedsforskere fra Google har offentliggjort et alvorligt sikkerhedshul i Internet Explorer og Edge. Fejlen ligger i funktionen HandleColumnBreakOnColumnSpanningElement i forbindelse med tabeller på websider.
En angriber kan udnytte sårbarheden ved at udarbejde en webside på en bestemt måde. Det kan medføre, at der kører skadelige programmer på den sårbare computer.
Microsoft udsender sikkerhedsrettelser næste gang den 14. marts.
Anbefaling
Overvej at bruge en alternativ browser, indtil fejlen er rettet.
Microsoft oplyser, at problemet kunne få betydning for nogle kunder. Det blev ikke løst inden den 14. februar, hvor firmaet ifølge planen skulle have udsendt februar måneds rettelser.
I stedet er alle rettelserne udskudt til næste måned, hvor de udsendes på den planlagte dato, den 14. marts.
Dermed må brugerne blandt andet vente på en løsning til et sikkerhedshul i SMB (Server Message Block), som angribere kan bruge til at få en Windows-pc til at gå ned.
Fejlen findes i SMB v3. Hvis en Windows-pc forbinder sig til en server, som en angriber kontrollerer, kan angriberen få pc'en til at gå ned.
Windows 8.1, Windows 10, Windows Server 2016 og Windows Server 2012 R2 er alle sårbare.
Sikkerhedsforsker Laurent Gaffie advarede Microsoft om problemet i slutningen af september. Han og Microsoft er enige om, at sårbarheden næppe kan udnyttes til at afvikle skadelig programkode med.
Laurent Gaffie har offentliggjort et angrebsprogram (exploit), der demonstrerer sårbarheden.
Endvidere er der også en sikkerhedsrettelse med de rettelser til Adobe Flash Player, som Adobe netop har udsendt.
Rettelserne er beskrevet i fire sikkerhedsbulletiner. Det er sidste gang, Microsoft udsender sikkerhedsbulletiner. Fremover vil firmaet informere om sikkerhedsrettelser via en webportal, der giver mulighed for at søge og filtrere i data.
Dermed har Microsoft i år udsendt 155 sikkerhedsopdateringer. Det er 15 procent flere end sidste år.
December måneds sikkerhedsrettelser er beskrevet i disse sikkerhedsbulletiner:
MS16-144: Opsamlende opdatering til Internet Explorer, der lukker otte nye sikkerhedshuller. Tre af dem har været kendt, inden rettelsen blev udsendt. Flere af hullerne giver mulighed for at afvikle skadelig programkode.
MS16-145: Opsamlende opdatering til Edge, der lukker 11 huller, heraf flere alvorlige.
Microsofts 14 sikkerhedsrettelser for november lukker sikkerhedshuller i Internet Explorer, Edge, Windows, Office og SQL Server. Flere af sårbarhederne er alvorlige.
De alvorligste sårbarheder er i Internet Explorer, Edge og Windows. Sikkerhedsfirmaet Qualys mener dog også, at sårbarhederne i Office-pakken er kritiske. En angriber kan udnytte dem til at afvikle skadelig programkode, hvis offeret kan narres til at åbne en fil.
En af opdateringerne er til den indbyggede Adobe Flash Player i Windows. Den indeholder samme rettelser som den opdatering, Adobe har udsendt.
Microsoft har udsendt ti sikkerhedsbulletiner, der beskriver rettelser til sikkerhedsproblemer i Windows, Office og Adobe Flash. Fem af rettelserne lukker alvorlige sikkerhedshuller, der udnyttes aktivt til angreb.
Skønt der er udsendt ti bulletiner, vil brugerne kun se en enkelt opdatering. Microsoft har ændret opdateringsmetoden for Windows 7 og 8.1, så den følger samme skema som Windows 10. Det vil sige, at alle rettelser samles i en samlet opdatering.
