Microsoft fjernet denne uken en rekke sårbarheter fra selskapets produkter. I ettertid har det vist seg at i alle fall to av disse sårbarhetene ikke har vært helt ordinære. Digi.no har allerede omtalt den ene av disse.

Den andre sårbarheten som er spesielt verdt å nevne, er kanskje enda mer oppsiktsvekkende enn den første. Ikke bare på grunn av hva den åpner for, men fordi den har eksistert så lenge.

Den aktuelle sårbarheten er knyttet til Microsoft Windows Object Linking and Embedding (OLE), en teknologi Microsoft tok i bruk allerede i 1990. Sårbarheten anses som svært alvorlig og åpner for fjernkjøring av vilkårlig kode.

IBM X-Force Research, som er gruppen som oppdaget sårbarheter, er ikke sikre på hvor gammel sårbarheten egentlig er, men den skal i alle fall eksistere i den opprinnelige koden til Windows 95, som kom for 19 år siden. Fjernutnyttelse skal dog først ha blitt mulig med Internet Explorer 3, som i 1996 introduserte Visual Basic Script (VBScript).

Ifølge IBMs Security Intelligence-nettsted gjør sårbarheten det mulig å omgå både EPM-sandkassen (Enhanced Protected Mode) i Internet Explorer og beskyttelsesverktøyet Enhanced Mitigation Experience Toolkit (EMET). Den skal gi mulighet for pålitelige drive-by-angrep, altså nedlasting og installasjon av skadevare uten brukerinnvirkning.

IBM X-Force Research oppdaget sårbarheten i mai i år.

– Denne sårbarheten har vært fullt synlig i lang tid, til tross for at mange andre feil har blitt oppdaget og patchet i det samme Windows-biblioteket, OleAut32, skriver Security Intelligence.

Sårbarheten har nå blitt fjernet i Windows Server 2003, Windows Vista og nyere utgaver av Microsoft operativsystemet. Den vil ikke bli fjernet fra Windows XP og eldre Windows-utgaver.

Argumentet om at åpen kildekode fører til at sårbarheter oppdages tidligere, fikk en smule slagside da det ble kjent at Shellshock-sårbarheten i Bash hadde eksistert i minst 20 år, uten å bli oppdaget. Nå demonstrerer Microsoft at sårbarheter kan eksistere like lenge i lukket kildekode, vedlikeholdt at et kommersielt selskap.

Konklusjonen må være at være at så godt som all programvare inneholder feil, og at man aldri må slutte å lete etter dem.

Amazon avduket i går en ny nettskytjeneste for distribuerte applikasjoner, EC2 Container Service.

Mange har oppdaget fordelen med å bruke konteinere i stedet for virtuelle maskiner, både på lokale servere og i nettskyen. Fordi flere konteinere kan dele et felles operativsystem, i stedet for å ha hvert sitt gjesteoperativsystem, reduseres det totale ressursbehovet til installasjonen. Konteinere skal dessuten kunne gjøre det enklere å administrere applikasjoner som består av mange, separate og flyttbare deler.

Den åpne konteinerplattformen Docker har på kort tid den foretrukne løsningen. Foreløpig krever den at det brukes en Linux-variant som det underliggende operativsystemet, men Windows skal kunne brukes fra og med neste utgave av Windows Server.

Les også: Windows Server skal få konteinerstøtte

Både Microsoft og Google har kunngjort offisiell eller foreløpig støtte for Docker i sine respektive nettskyer. Også en rekke andre aktører, inkludert VMware, har introdusert slik støtte. Det bidrar til at kundene relativt enkelt skal kunne flytte konteinere, ikke bare mellom relativt lokale servere og nettskyen, men sannsynligvis også mellom ulike nettskyleverandører. De kan altså fungere som et middel mot innelåsing.

Med Amazons EC2 Container Service kan kundene kjøre et vilkårlig antall Docker-konteinere på tvers av en automatisk administrert klynge med EC2-instanser (Elastic Compute Cloud).

EC2 Container Service tilbys fortsatt bare som en foreløpig testversjon til et begrenset antall brukere. Det skal ikke koste noe ekstra å ta i bruk konteinertjenesten på toppen av EC2.