Microsoft komt met flinke patchronde

De patches zijn bestemd voor zwakke plekken in Access, Excel, Windows, FrontPage, SharePoint, Active Directory, Internet Explorer en Outlook.

Outlook

Vooral een lek dat in Outlook 2007 en 2010 voorkomt, is ernstig omdat misbruik ervan mogelijk is zonder handelingen van de gebruiker. Met het lek is het mogelijk dat een aanvaller de controle over het systeem krijgt, door een gebruiker via een e-mail alleen maar een voorbeeldweergave te laten bekijken. Echt openen van het bericht is zelfs niet nodig. De zwakke plek betreft de manier waarop Outlook binnenkomende gebruikerscertificaten afhandelt. Die vormen een identificatie voor de verstuurder. De certificatenparser van Outlook kan echter maar 256 certificaten in één e-mail aan. Verstopt een aanvaller er meer in, dan is hij binnen omdat dat tot een bufferoverflow leidt waarmee malware in het geheugen geplaatst kan worden.

Explorer

Dat geldt ook voor het Security Bulletin MS13-069 dat 10 lekken in versies 6 tot 10 van Microsoft Explorer dicht. De lekken zorgen ervoor dat gebruikers die een gemanipuleerde pagina bekijken, aanvallers de kans bieden code op hun systeem te laten uitvoeren.

Ook de 2 bulletins die lekken dichten in Windows zijn kritiek en dienen met spoed te worden doorgevoerd. Daarbij gaat het om een lek in OLE waarmee op afstand code uitgevoerd kan worden. Dat geldt ook voor een lek in Windows dat misbruikt kan worden als een gebruiker een speciaal ontwikkeld Windows-thema op zijn systeem gebruikt. Hij moet het bestand wel echt openen om de aanvaller een kans op succes te geven. Die kan dan vervolgens op afstand code uitvoeren op zijn systeem.