IBM-folk har fundet en sikkerhedsfejl i alle versioner af Microsoft-operativsystemet Windows fra Windows 95 og frem til i dag.
Det inkluderer også alle Windows Server-platformene.
Det skriver IBM i et blogindlæg, hvor fejlen i alle Windows-versioner siden 95-versionen får en CVVS-score på 9,3.
CVVS-systemet (Common Vulnerability Scoring System) går fra 0 til 10, hvor 0 er lavkritisk og 10 er den mest bekymrende score.
Med andre ord: Sikkerhedsfejlen er ifølge IBM yderst kritisk.
Er mindst 19 år gammelt
I blogindlægget fremgår det, at sårbarheden hidrører introduktionen af Visual Basic-scripts og mere specifikt SafeArrays-brugen i Internet Explorer lige fra version 3.0.
Sårbarheden kan ifølge IBM udnyttes i drive-by-angreb i forsøget på at overtage ofrets maskine.
“Den fejlbehæftede kode er mindst 19 år gammel og har været åben for misbrug i de seneste 18 år,” lyder det i blogindlægget, der er skrevet af IBM’s sikkerhedsresearch-chef Robert Freeman.
Microsoft fikser fejlen i 2014
IBM påstår, at selskabet har fundet sikkerhedsfejlen og beskrevet den helt tilbage i maj.
Ikke desto mindre er det først i Microsofts seneste og store november-sikkerhedsopdatering, at Windows-fabrikken har udsendt en lap til sikkerhedshullet, der har sikkerheds-id’et CVE-2014-6332.
I Microsofts egen oversigt over sikkerhedsløsninger får fejlen en score på 1 på en skala fra 0 til 3, hvor 0 er 0-dagssårbarheder og 3 indikerer, at fejlen sandsynligvis ikke bliver udnyttet.
Med en score på 1 betyder det, at udnyttelse af fejlen ifølge Microsoft er ‘overvejende sandsynligt’.
Leave a Reply