Der er konstateret en sårbarhed i Microsoft XML Core Services, som gør det muligt at afvikle arbitrær kode via en særligt udformet webside. Der er tale om en såkaldt 0-dags sårbarhed, og Microsoft har af samme årsag set sig nødsaget til at frigive et midlertidigt Fix-it værktøj.
Sårbarheden udløses via Microsoft Internet Explorer og MSXML der under særlige omstændigheder kan tvinges til at tilgå et objekt i hukommelsen, som ikke er blevet initialiseret. Det kan føre til en korruption af hukommelsen og mulighed for kodekørsel med samme rettigheder som den påloggede bruger.
CSIS anbefaler at private brugere anvender nedenstående link og gennemfører en Fix-It. Det forventes, at Microsoft vil frigive en "udenfor patch cyklus" opdatering der mere permanent korrigerer denne sårbarhed. Indtil videre er der tale om yderst begrænset misbrug af denne sårbarhed, men det kan meget vel ændre sig. Vi følger udviklingen tæt.
Yderligere oplysninger:
http://technet.microsoft.com/en-us/security/advisory/2719615
Fix-It værktøj:
http://support.microsoft.com/kb/2719615
↧
CSIS Nyheder: Pas på hul i Microsoft XML Core Services (MSXML)
↧