Efter angreb, Excel-opdatering på grund af Microsoft

Corporate IT-medarbejdere vil få en dobbelt whammy i næste uge, da både Microsoft og Oracle er indstillet til at frigive kritiske sikkerhedsopdateringer samme dag, herunder en sandsynlig løsning på en Excel-fejl, der er blevet brugt af cyberkriminelle.

Orakels kvartalsvise software reparerer denne måned og Microsofts månedlige patches tilfældigvis falder på samme dag, næste tirsdag. For Windows-brugere vil der være meget at patch. Microsoft planlægger at frigive otte opdateringer i alt: Fem af dem er til Windows, med en enkelt opdatering hver for Internet Explorer, Excel og Microsofts internetserver og ISA-server.

[Yderligere læsning: Sådan fjernes malware fra din Windows PC]

Oracle sagde torsdag, at næste uges patches indeholder 43 sikkerhedsrettelser, herunder 16 patches til firmaets flagskibs database software. Der vil også være 12 sårbarheder patched i Oracle Application Server samt en håndfuld rettelser til firmaets E-Business Suite, PeopleSoft og JD Edwards Suite og til BEA applikationsserien.

Excel-opdateringen er bemærkelsesværdig fordi Microsofts regnearksoftware for nylig er blevet udnyttet i et lille antal målrettede angreb. Ved at narre brugere til at åbne en specielt udformet Excel-fil, kan kriminelle installere deres ondsindede software på et offers maskine, sagde Microsoft. Softwareleverandøren har ikke sagt sikkert, om det vil patchere denne Excel-fejl i næste uge, men det synes sandsynligt.

Microsoft har også advaret om en lignende fejl i PowerPoint-softwaren, som også bruges i angreb, men ikke PowerPoint opdateringer er i øjeblikket planlagt.

"Vi håbede på at se en opdatering til at håndtere PowerPoint.pps exploit ser da dette er det hotteste Office-problem, der kører vildt, men fra det vi kan fortælle på dette tidspunkt, vil problemet ikke blive behandlet i denne måned, "siger sikkerhedsleverandør Lumension i en erklæring.

Microsoft vurderer IE og Excel-rettelser som kritiske sammen med tre af Windows-opdateringerne, hvilket betyder at en hacker kunne udnytte de fejl, de lapper til at køre uautoriseret software på en pc. ISA-lappen er vigtig; en hacker kunne bruge denne fejl til at kollidere et system. Og de to andre fejl i Windows kan bruges til at hæve privilegier for at få adgang til uautoriserede ressourcer på pc'en, sagde Microsoft.

En af de kritiske Windows-opdateringer er for DirectX-multimediesoftwaren, sagde Microsoft. En anden Windows-opdatering, der er vigtig vurderet, er for Microsoft Distributed Transaction Coordinator (MSDTC), software, som bruges af programmer som databaser til at forbinde med andre dele af operativsystemet.

ISA-fejlen er også bemærkelsesværdig, fordi det kunne være brugt af angribere til at deaktivere software, der skulle beskytte virksomhedernes netværk fra onlinevækker.

Microsoft offentliggjorde nogle detaljer om næste uges patches på sit websted torsdag.