Tiden hvor gamle sikkerhedshuller, der har eksisteret i mange år, dukker op til overfladen, er åbenbart ikke forbi.
Tidligere på efteråret kom nyheden om Shellshock-sårbarheden, der ramte Unix-lignende systemer frem. Den havde eksisteret siden 1989.
Nu har Microsoft i en større patch-operation lukket flere sikkerhedshuller i virksomhedens Windows og Office-software, hvoraf et af hullerne – også døbt WinShock – efter sigende har eksisteret i 19 år siden lanceringen af det hedengangne Windows 95. Det skriver engelske BBC.
Buggen har fået den kritiske karakter 9,3 ud af 10 på Common Vulnerability Scoring System (CVSS)-skalaen, som afgør alvoren af sikkerhedshuller i software. Opfordringen lyder derfor til alle Windows-brugere at opdatere styresystemet så hurtigt som muligt. Da sårbarheden også rammer Windows Servere, kan den potentielt sætte sikkerheden på systemer med fortrolige data over styr, hvis systemadministratorerne ikke opdaterer i tide.
Hackere kan udnytte sårbarheden til såkaldte “drive-by”-angreb, hvor man fjernstyrer ofrets computer og får den til at downloade malware.
WinShock-sårbarheden er af nogle blevet sammenlignet med den alvorlige Heartbleed-sårbarhed, der blev kendt i April i år og eksponerede over en halv mio. af internettets sikkerhedscertificerede webservere. Sammenligningen skyldes blandt andet, at begge sårbarheder udnytter en svaghed i SSL-teknologien, der ellers bruges til at transportere data sikkert over internettet.
Der er endnu ikke nogen, der har forsøgt at udnytte sårbarheden ifølge IBM, men efterfølgende angreb er sandsynlige skriver BBC – især på ældre Windows-maskiner, der ikke er blevet opdateret.
Medarbejdere hos IBM opdagede WinShock-sikkerhedshullet i maj tidligere i år, men holdt det hemmeligt, mens de samarbejdede med Microsoft om at lappe det.
Leave a Reply