April månads säkerhetsuppdateringar från Microsoft
Hej!
Det är den andra tisdagen i april och sålunda dags för månadens säkerhetsuppdateringar. Av de sammanlagt åtta säkerhetsuppdateringarna kategoriseras fem som ”kritiska”. Det gäller två för Windows, två för Windows och Internet Explorer i kombination och en för Office. Återstående tre kategoriseras som ”viktiga” och berör Windows (2) och Office (1).
Via Windows Update, Microsoft Update, Windows Server Update Services och Download Center uppdateras samtidigt vårt Microsoft Windows Malicious Software Removal Tool.
Under ett antal veckor har jag, och fortsätter ett tag till, bloggat om någonting som kallas för Microsofts 10 immutable Laws of Security[1][2]. Dessa skrevs för nästan tio år sedan men gäller i stort sett precis lika mycket idag - dock med vissa smärre förändringar i tänket, vilket jag tidigare har bloggat om.
Men under de senaste veckorna har jag vid ett flertal tillfällen haft anledning att diskutera lag #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore. Om den fysiska säkerheten saknas eller brister så är det bara en tidsfråga innan det är Game Over!
Anledningen till att det är aktuellt just nu är den senaste tidens skriverier på webben om attacker som bygger på DMA-access via Firewire, frysning av minnen och utbytande av filer i inloggningssekvensen- De första två attackerna har inte någonting med Windows att göra, utan utnyttjar hur hårdvaran är designad. Gemensamt för alla tre attackerna är att ingen av dem går att genomföra om bara dörren på serverrummet är låst!
Senast i veckan skrevs det också om hur PC för Alla har lyckats ta sig förbi Microsofts fingeravtrycksläsare. Det som inte skrevs om är dock det faktum att vi från Microsoftalltid har poängterat att biometri – som till exempel fingeravtryck - kan vara båda bra och smidigt, så är det inte en lösning som är bra nog för att använda som isolerad metod.
Det vi istället förespråkar kallas två-faktor-autenticering. Det finns – enkelt uttryckt – tre sätt att bevisa att du är du: genom något du vet, något du har eller något du är. För att vara säker bör man använda sig av två av dessa faktorer. Om man väljer att använda fingeravtrycket (något man är) OCH ett certifikat (något man har) eller ett lösenord (något man vet), så ökar säkerheten dramatiskt. Endast en av de tre räcker alltså inte. Möjligen skulle man kunna sträcka sig till en lösning som istället bygger på två saker man har, exempelvis ett Smart Card OCH ett biometriskt verktyg typ fingeravtrycksläsare som ersättare till lösenordet.
Slutligen så vill jag tacka för mig för den här gången. Från och med nu så är min kollega Magnus Lindkvist tillbaka i sin roll som Chief Security Advisor/Säkerhetsrådgivare för Sverige. Jag kommer dock fortfarande att jobba med säkerhet och jag hoppas att ni alla fortsätter att följa min blogg http://michaelanderberg.se som även framöver kommer handla mestadels om just säkerhet.
[1] Länken till Microsoft’s 10 Immutable Laws of Security är: http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true
2 Min blogg med uppdateringarna till 10 immutable laws: http://michaelanderberg.se
Om du har frågor kring månadens säkerhetsuppdateringar eller Microsofts säkerhetsarbete i allmänhet är du välkommen att kontakta mig. Du når mig på michael.anderberg@microsoft.com eller telefon 08 – 752 27 55. Jag kan även rekommendera Microsoft Security Response Center Blog, blogs.technet.com/msrc, för information om aktuellt säkerhetsarbete.
Vi hörs
Michael
Bulletin Information
Executive Summaries
The security bulletins for this month are as follows, in order of severity:
Microsoft Security Bulletin MS08-018
Vulnerability in Microsoft Project Could Allow Remote Code Execution (950183)
Executive Summary
This security update resolves a privately reported vulnerability in Microsoft Office Project that could allow remote code execution if a user opens a specially crafted Project file. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Maximum Severity Rating
Critical
Impact of Vulnerability
Remote Code Execution
Detection
Microsoft Baseline Security Analyzer can detect whether your computer system requires this update. The update does not require a restart.
Affected Software
Microsoft Office. For more information, see the Affected Software and Download Locations section.
Microsoft Security Bulletin MS08-021
Vulnerabilities in GDI Could Allow Remote Code Execution (948590)
Executive Summary
This security update resolves two privately reported vulnerabilities in GDI. Exploitation of either of these vulnerabilities could allow remote code execution if a user opens a specially crafted EMF or WMF image file. An attacker who successfully exploited these vulnerabilities could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
Maximum Severity Rating
Critical
Impact of Vulnerability
Remote Code Execution
Detection
Microsoft Baseline Security Analyzer can detect whether your computer system requires this update. The update requires a restart.
Affected Software
Microsoft Windows. For more information, see the Affected Software and Download Locations section.
Microsoft Security Bulletin MS08-022
Vulnerability in VBScript and JScript Scripting Engines Could Allow Remote Code Execution (944338)
Executive Summary
This security update resolves a privately reported vulnerability in the VBScript and JScript scripting engines in Windows. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
Maximum Severity Rating
Critical
Impact of Vulnerability
Remote Code Execution
Detection
Microsoft Baseline Security Analyzer can detect whether your computer system requires this update. The update requires a restart.
Affected Software
Microsoft Windows. For more information, see the Affected Software and Download Locations section.
Microsoft Security Bulletin MS08-023
Security Update of ActiveX Kill Bits (948881)
Executive Summary
This security update resolves one privately reported vulnerability for a Microsoft product. This update also includes a kill bit for the Yahoo! Music Jukebox product. The vulnerability could allow remote code execution if a user viewed a specially crafted Web page using Internet Explorer. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Maximum Severity Rating
Critical
Impact of Vulnerability
Remote Code Execution
Detection
Microsoft Baseline Security Analyzer can detect whether your computer system requires this update. The update may require a restart.
Affected Software
Microsoft Windows, Internet Explorer. For more information, see the Affected Software and Download Locations section.
Microsoft Security Bulletin MS08-024
Cumulative Security Update for Internet Explorer (947864)
Executive Summary
This security update resolves one privately reported vulnerability. The vulnerability could allow remote code execution if a user viewed a specially crafted Web page using Internet Explorer. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Maximum Severity Rating
Critical
Impact of Vulnerability
Remote Code Execution
Detection
Microsoft Baseline Security Analyzer can detect whether your computer system requires this update. The update requires a restart.
Affected Software
Microsoft Windows, Internet Explorer. For more information, see the Affected Software and Download Locations section.
Top of section
Microsoft Security Bulletin MS08-020
Vulnerability in DNS Client Could Allow Spoofing (945553)
Executive Summary
This security update resolves a privately reported vulnerability. This spoofing vulnerability exists in Windows DNS clients and could allow an attacker to send specially crafted responses to DNS requests, thereby spoofing or redirecting Internet traffic from legitimate locations.
Maximum Severity Rating
Important
Impact of Vulnerability
Spoofing
Detection
Microsoft Baseline Security Analyzer can detect whether your computer system requires this update. The update requires a restart.
Affected Software
Microsoft Windows. For more information, see the Affected Software and Download Locations section.
Microsoft Security Bulletin MS08-025
Vulnerability in Windows Kernel Could Allow Elevation of Privilege (941693)
Executive Summary
This security update resolves a privately reported vulnerability in the Windows kernel. A local attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts.
Maximum Severity Rating
Important
Impact of Vulnerability
Elevation of Privilege
Detection
Microsoft Baseline Security Analyzer can detect whether your computer system requires this update. The update requires a restart.
Affected Software
Microsoft Windows. For more information, see the Affected Software and Download Locations section.
Microsoft Security Bulletin MS08-019
Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution (949032)
Executive Summary
This security update resolves privately reported vulnerabilities in Microsoft Office Visio that could allow remote code execution if a user opens a specially crafted Visio file. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Maximum Severity Rating
Important
Impact of Vulnerability
Remote Code Execution
Detection
Microsoft Baseline Security Analyzer can detect whether your computer system requires this update. The update does not require a restart.
Affected Software
Microsoft Office. For more information, see the Affected Software and Download Locations section.
[1] Länken till Microsoft’s 10 Immutable Laws of Security är: http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true
[2] Min blogg med uppdateringarna till 10 immutable laws: http://michaelanderberg.se
Andra (Bloggar.se) skriver om: Microsoft, Säkerhetsuppdateringar, Säkerhet, Patch, Windows, Office, Internet Explorer, MS08-018, MS08-019, MS08-020, MS08-021, MS08-022, MS08-023, MS08-024, MS08-025
