Microsoft undersøger ny fejl i Windows' kerne

Microsoft er gået i gang med at undersøge en åben sårbarhed i styresystemets kerne.

Windows 7

Computerworld News Service: Ifølge Gil Dabah, en sikkerhedsekspert fra Tel Aviv, der går under navnet "arkon", indeholder Windows' kerne en såkaldt heap overflow-sårbarhed.

Dabah har også offentliggjort en kort proof-of-concept, der demonstrerer fejlen på RageStorm.com, der er et site, som han og to andre administrerer.

"Microsoft er ved at undersøge rapporter om en mulig sårbarhed i Windows Kernel," siger Jerry Bryant, der er Microsofts group manager of response communications.

"Når undersøgelsen er afsluttet, vil Microsoft handle hensigtsmæssigt for at beskytte sine kunder."

I en sikkerhedsadvarsel fredag advarede danske Secunia om fejlen i kernel-mode device-driveren 'Win32k.sys'. Det er muligt for angribere at udnytte fejlen ved hjælp af 'GetClipboardData', som er en API, der henter data fra udklipsholderen i Windows.

Et succesrigt angreb kan gøre det muligt for hackere at køre skadelig kode i kernel-mode, hvilket vil gøre det muligt for dem at inficere pc'en med malware eller stjæle enhver data på maskinen.

Fejlen eksisterer i adskillige versioner af Windows heriblandt XP SP3, Server 2003 R2, Vista, Windows 7 og Server 2008 SP2, påpeger Secunia, som kategoriserer fejlen som "mindre kritisk," hvilket er firmaets næstlaveste trusselsvurdering.

Microsoft har alene i år lukket 13 sårbarheder i Windows' kerne. I juni lukkede MS10-032 tre sårbarheder i Win32k.sys; i april blev otte fejl rettet med MS10-021 og i februar rettede MS10-015 to fejl.

En sikkerhedsekspert med erfaring i at grave kerne-sårbarheder frem siger, at fundet af den seneste ikke gør nogen forskel.

"Jeg tror ikke, der har været mere end nogle få dage i år, hvor Microsoft ikke har været sårbar overfor offentliggjorte kerne-fejl," siger Tavis Ormandy på Twitter. Ormandy har personligt gjort Microsoft opmærksom på tre af årets kerne-sårbarheder i Windows.

De fleste af disse fejl blev klassificeret som "vigtige," hvilket er Microsofts næsthøjeste trusselsvurdering, fordi de ikke kunne fjernudnyttes men krævede, at en angriber havde fysisk adgang til pc'en og gyldige login-oplysninger. Det er sandsynligt, at det samme gælder for Dabahs fund.

Hvis fejlen viser sig ikke at være rettet med tirsdagens 14 sikkerhedsopdateringer - heriblandt 10 af Windows - så vil den tidligst blive rettet til september. I mellemtiden giver Secunia dette råd:

"Giv kun adgang til brugere, der er tillid til."

Oversat af Thomas Bøndergaard

Læs også