Microsoft Store installeert stilletjes Windows-updates

Het gaat om twee kritieke kwetsbaarheden in het Windows-component van de Codecs Library. Kwaadwillenden kunnen misbruik maken van de geheugenafhandeling in die multimediasoftware om op afstand eigen code uit te kunnen voeren. Deze beveiligingskwestie is aan Microsoft gemeld door een beveiligingsonderzoeker via het Zero Day Initiative van securityleverancier Trend Micro. Voor zover bekend is informatie over deze kwetsbaarheden niet publiekelijk bekend en is er ook geen sprake van misbruik.

Niet via Windows Update

Toch heeft Microsoft de kwetsbaarheden zeer ernstig bevonden. Beperkende maatregelen (mitigations) zijn niet geïdentificeerd door de leverancier en ook workarounds zijn er niet. Gebruikers en beheerders van computers met Windows 10 of Windows Server 2019 hoeven zelf geen actie te ondernemen, zo meldt Microsoft in de advisories over de twee kritieke bugs. De patches die buiten het reguliere updateritme zijn uitgekomen, zijn namelijk al automatisch gedownload en geïnstalleerd.

Dit is opvallend genoeg níet gedaan via het reguliere patchmechanisme Windows Update. Microsoft heeft zijn app voor de eigen appstore ingezet om de kritieke fixes te distribueren. Gebruikers die de twee noodpatches onmiddellijk willen ontvangen, kunnen in de Microsoft Store App zelf kijken of er nog updates zijn. Normaliter worden daarlangs alleen apps bijgewerkt.

Vanaf herfst 2017

Windows 10 is vanaf de herfst-release van 2017 vatbaar voor deze twee bugs, die dus ook in de actuele lente-release Windows 10 2004 zit. Dit geldt voor de 32-bit uitvoering, de x64-uitvoering en ook de ARM64-variant van Microsofts besturingssysteem. Windows Server 2019 is in het ene geval ook vanaf de 1709-release vatbaar, en in het andere geval vanaf de 1803-release (die in de lente van 2018 is uitgekomen). Dit geldt ook voor de uitgeklede variant Server Core, die door beperkte installatie-omvang juist een kleiner aanvalsoppervlakte heeft en dus minder kwetsbaar moet zijn.