Windows 2000

Annonse


Nytt stygt hull i Windows

Windows 2000

Det var sikkerhetsorganisasjonen SANS Institute som oppdaget det nye sikkerhetshull i programvaren til Windows. Ifølge sikkerhetsekspertene i SANS, er dette helt klart det alvorligste problemet som har rammet Windows hittil.

Problemet rammer alle Windows-versjonene (95, 95, NT, 2000). For at feilen skal kunne utnyttes må Access 97 eller 2000 sammen med Internet Explorer 4.0 eller høyere, være installert.

Falsk trygghet

Problemet har en sammenheng med bruk av nettleseren og Active X-control. På en rekke nettsteder dukker det opp en beskjed om at innholdet på siden er usikkert, og du får spørsmålet om di vil lukke den opp likevel eller la være. Når man sier nei, skal det i teorien ikke være mulig å bli utsatt for farene ved å besøke siden.

Annonse


Programfeilen gjør at Active-X basen åpnes opp likevel, og gir tilgang til elementene på siden. Dette kan volde skade, skriver SANS i sin rapport.

Det kan innebære at andre får direkte tilgang inn i maskinen din via en skjult fil, og dette kan faktisk knekke maskinen din. En kommandolinje på nettsiden, kan være nok til å gi deg virus.

Samme problemet med e-posten

Det samme problemet er også enkelt å utnytte ved HTML e-post. Dette har sin rot i Explorers forsøk på å kombinere HTML og JavaScript, for å få dynamisk HTML, og er et allerede kjent sikkerhetshull i Windows.

SANS foreslår følgende for å hindre inntrengere å komme inn i maskinen:

  1. Sørge får at ødeleggende programmer ikke kan kjøres på nettet. Sitter du bak en brannvegg så må trafikk på følgende porter stenges: UPD 138, UDP og TCP 139, UDP og TCP 445.
  2. Få alle installasjonene til Microsoft Access under egen kontroll ved å:
    • Starte Access uten å åpne noen databaser
    • Velg Sikkerhet i verktøysmenyen
    • Velg bruker og gruppekonto
    • Velg Admin bruker og tildel deretter et passord for brukeren Admin. Avslutt med OK.

For å oppdatere sikkerheten i Outlook gå til denne Microsoft-siden: www.microsoft.com/technet/security/bulletin/MS00-049.asp

Les hele rapporten hos SANS Institute med råd og linker: www.sans.org

Annonse