Beheer

Security

Patch voor lek in IE8 op komst

10 mei 2013
Microsoft verspreidt komende dinsdag 10 beveiligingsupdates. Daar zit onder andere een patch bij voor een ernstige kwetsbaarheid in zijn webbrowser Internet Explorer 8.

Van de 10 update of 'security bulletins' dragen er 2 het stempel 'kritiek'. Ze zijn allebei gericht op Internet Explorer. De overige 8 zijn bedoeld voor iets minder gevaarlijke gaten in de beveiliging en worden aangeduid als 'belangrijk'.

Het meest urgent is deze maand de update met volgnummer 2. Hij moet afrekenen met een 'zero-day' lek in versie 8 van Internet Explorer dat vorige week is blootgelegd door enkele IT-beveiligingsfirma's. Zij hadden geconstateerd dat de kwetsbaarheid al was aangegrepen om malware te deponeren op de website van het Amerikaanse ministerie van Arbeid. Inmiddels zouden ook andere grote websites zijn besmet, waaronder die van een niet nader genoemd Europees bedrijf dat toeleverancier is voor defensie en de luchtvaartsector.

Fixit-tool kan tijdelijke oplossing zijn

Microsoft heeft het zero-daylek in IE8 eind vorige week erkend in een adviesbulletin. Afgelopen woensdag voegde het daar een zogeheten Fixit-tool aan toe. Dat is een 'workaround' die in sommige situaties een oplossing kan bieden. Gebruikers van IE8 kunnen met de Fixit-tool hun browser tijdelijk beschermen tegen aanvallen totdat de definitieve patch beschikbaar is. Met nadruk zegt Microsoft dat het tooltje de reguliere beveiligingsupdate niet kan vervangen.

Mogelijk alsnog patches voor Pwn2Own-lekken

De andere beveiligingsupdate voor Internet Explorer - die alle versies van IE raakt - zou patches kunnen bevatten voor kwetsbaarheden die in maart zijn onthuld op de hackerwedstrijd Pwn2Own. Microsoft zag toen geen kans de zwakke plekken nog in zijn patchronde van april te dichten. Dat in tegenstelling tot Google en Mozilla, die wel kans zagen snel na Pwn2Own de lekken in hun browsers Chrome en Firefox dicht te timmeren.

Overige updates voor breed scala aan producten

In de 8 belangrijke beveiligingsbulletins zitten patches voor kwetsbaarheden in onder meer Windows (XP, Vista, 7, 8 en RT), Windows Server (2003, 2008, 2012), het .NET Framework, Office (Publisher 2003, 2007 en 2010; Visio 2003, 2007 en 2010; Word Viewer), Communicator 2007, Lync 2010 en Lync Server 2013 en Windows Essentials 2011 en 2012.

Zoals gebruikelijk is Microsoft in zijn vooraankondiging niet scheutig met details over de lekken in kwestie. Die maakt het bedrijf pas bekend als dinsdag 14 mei rond 19 uur Nederlandse tijd de nieuwe security bulletins beschikbaar zijn gekomen.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.