Kritiek gat in Windows' security al misbruikt

In de lading patches van vorige maand heeft Microsoft 58 fouten gefixt met updates, wat flink minder is dan de 83 van deze maand. Bovenop dat aantal voor de eerste Patch Tuesday van 2021 komt nog het aantal van 13 fouten in Windows' webbrowser Edge. Dat component van het besturingssysteem heeft vorige week een patchlading gekregen, weet The Register op te merken.

Die aparte patchronde betreft de nieuwe, op Chromium gebaseerde uitvoering van Edge. In de officiële Patch Tuesday nu zit echter ook een fix voor een browserprobleem, maar dat betreft de oudere uitvoering van Edge en ook Internet Explorer 11. Beide verouderde browsers zijn nog aanwezig in Windows. Verder krijgen Microsoft-producten Office, SharePoint, Visual Studio, SQL Server en Windows zelf nu patches, naast nog onderdelen als de Codecs Library, .NET Core, ASP .NET en Defender.

Onveilige beveiliging

De kwetsbaarheid in laatstgenoemde, de in Windows ingebouwde securitytool, wordt in de praktijk al benut door kwaadwillenden. Proof-of-Concept (PoC) code voor dit beveiligingsgat is al beschikbaar, waarschuwt Microsoft. Aanvallers kunnen op afstand eigen code uitvoeren op kwetsbare systemen, door gebruikers zo ver te krijgen een gemanipuleerd document te openen. De Windows-beveiliging is dan zelf het punt van beveiligingsinbreuk.

Van de 83 kwetsbaarheden die nu een patch hebben gekregen, zijn er 10 ingeschaald als kritiek. De overige 73 zijn 'slechts' belangrijk, wat betreft de impact en de kans op misbruik. Die inschatting kan nog veranderen, als kwaadwillenden zich storten op bugs die hun mogelijkheden kunnen bieden. Één van de nu te fixen problemen is vorige maand al publiekelijk bekend gemaakt, omdat daar al PoC-code voor beschikbaar is.