Oktober måneds sikkerhedsrettelser fra Microsoft lukker 63 sikkerhedshuller i produkterne Internet Explorer, Edge, Windows, Office, Skype og ChakraCore.
Sårbarhedsfirmaet Qualys fremhæver sårbarheden CVE-2017-11826 i Office som en af de alvorligste. Hvis en angriber kan narre sit offer til at åbne et Office-dokument, kan der afvikles skadelig programkode. Angribere udnytter metoden til aktive angreb.
Den sårbarhed har Microsoft givet firmaets næsthøjeste risikovurdering. Den højeste vurdering er givet til 28 af sårbarhederne.
September måneds sikkerhedsrettelser fra Microsoft lukker 81 sikkerhedshuller, hvoraf 27 har fået firmaets højeste risikovurdering.
38 af sårbarhederne findes i Windows.
Angribere udnytter aktivt en sårbarhed i .Net Framework. Det kræver blot, at offeret kan lokkes til at åbne et skadeligt dokument eller program. Ifølge sikkerhedsfirmaet FireEye bruges den til at sprede spionprogrammet Finspy. Sårbarheden er blandt dem, Microsoft nu har fjernet.
Anbefaling
Slå automatisk opdatering til. Installer opdateringerne automatisk eller manuelt.
25 af sårbarhederne har fået Microsofts højeste risikovurdering. Angribere udnytter en af sårbarhederne aktivt. Den ligger i Windows Search og giver mulighed for at afvikle skadelig programkode.
En sårbarhed i Hyper-V giver en angriber med adgang til en virtuel maskine mulighed for at bryde ud og afvikle kode på hypervisoren.
De øvrige kritiske sårbarheder findes i JET Database Engine, Windows PDF, Windows IME, Windows Subsystem for Linux og Scripting Engine.
Den ene sårbarhed gør det muligt at køre skadelig software. Det kræver, at angriberen narrer offeret til at åbne en fil.
Den anden kan give angribere adgang til fortrolig information.
Foruden at lukke de to huller retter opdateringen også flere fejl i juni måneds opdateringer til Outlook. Det drejer sig blandt andet om en fejl, der opstår, når man åbner en vedhæftet fil i RTF (Rich Text Format).
Rettelserne lukker huller i Internet Explorer, Edge, Windows, Office, Office Services and Web Apps, .NET Framework og Adobe Flash Player. Tre af sårbarhederne udnyttes aktivt i angreb.
Sårbarhedsfirmaet Qualys anbefaler organisationer at prioritere rettelsen til en sårbarhed i Office højest. En angriber kan udnytte den ved at narre offeret til at åbne et dokument med et indlejret billede. Angribere benytter metoden til aktive angreb, der kan give dem fuld kontrol over den sårbare computer.
For første gang siden 1998 blev sikkerhedsrettelserne ikke offentliggjort i sikkerhedsbulletiner. I stedet fortæller Microsoft om rettelserne via portalen Security Update Guide.
Ifølge sårbarhedsfirmaet Qualys er den vigtigste rettelse til Office og WordPad. Sårbarheden CVE-2017-0199 giver en angriber mulighed for at køre programkode, hvis offeret kan narres til at åbne en fil. Angribere var begyndt at udnytte sårbarheden, før Microsoft lukkede hullet.
Otte af de 17 rettelser lukker huller, som Microsoft regner for kritiske. Flere af dem har været kendt, inden rettelserne kom, så angribere har mulighed for at udnytte dem.
Det gælder blandt andet en sårbarhed i grafikmodulet GDI. Sårbarhedsfirmaet Qualys giver denne rettelse den højeste prioritet blandt marts måneds rettelser.
Også den kendte sårbarhed i SMB (Server Message Block) bliver fjernet med de nye rettelser.
Tre alvorlige sårbarheder i Internet Explorer og Edge blev offentliggjort af Google tidligere på måneden. De er nu rettet.
Endvidere er der også en sikkerhedsrettelse med de rettelser til Adobe Flash Player, som Adobe netop har udsendt.
Rettelserne er beskrevet i fire sikkerhedsbulletiner. Det er sidste gang, Microsoft udsender sikkerhedsbulletiner. Fremover vil firmaet informere om sikkerhedsrettelser via en webportal, der giver mulighed for at søge og filtrere i data.
Dermed har Microsoft i år udsendt 155 sikkerhedsopdateringer. Det er 15 procent flere end sidste år.
December måneds sikkerhedsrettelser er beskrevet i disse sikkerhedsbulletiner:
MS16-144: Opsamlende opdatering til Internet Explorer, der lukker otte nye sikkerhedshuller. Tre af dem har været kendt, inden rettelsen blev udsendt. Flere af hullerne giver mulighed for at afvikle skadelig programkode.
MS16-145: Opsamlende opdatering til Edge, der lukker 11 huller, heraf flere alvorlige.
