Microsoft pakt kwetsbaarheid in lettertypes aan

Foute beschrijving fonts laat geheugen 'overstromen'

Door onvolkomenheden in het genereren van TrueType-fonts kunnen kwaadwillenden met succes aanvallen uitvoeren op een Windows-pc. Ze doen dat door in de beschrijving van een lettertype bewust fouten aan te brengen. Daardoor raakt de softwareroutine die de fonts moet creëren door zijn geheugen heen en legt ze beslag op delen van het werkgeheugen die voor andere taken bestemd zijn.

De lettertypesoftware van Windows is mede zo kwetsbaar omdat ze systeemrechten heeft op de pc en daardoor potentieel meer kwaad kan aanrichten dan een standaardgebruiker. Een Windows-pc kan geïnfecteerd raken met de kwaadaardige TrueType-fonts doordat de gebruiker een speciaal ingerichte website bezoekt of een document opent dat via e-mail is ontvangen.

Zwakke plekken in alle versies van Internet Explorer

De beveiligingslekken in Internet Explorer strekken zich uit van de zwaar verouderde versie 6 tot en met de allerlaatste versie IE 10. Wie één van deze browsers gebruikt op een pc met Windows XP, Vista, Windows 7 en 8 of een server met Windows Server 2003 en 2008 doet er goed aan de patches te installeren. De IE-patches zijn ook bedoeld voor gebruikers van een tablet met Windows RT.

Lek in geheugenbeheer Windows: snel patchen geboden

Naast de kwetsbaarheden in de browser springt ook een lek in het geheugenbeheer van Windows er deze maand uit. Het bestaan van deze zwakke plek was al in de openbaarheid gebracht. Omdat er nog geen patch was konden aanvallers zich uitleven door gebruik te maken van de penetratietestsoftware van Metasploit. Systeembeheerders krijgen het dringende advies om de cliëntversies XP, Vista, Windows 7, Windows 8 en RT en ook Windows Server 2008 en 2012 met gezwinde spoed te patchen.

Een uitgebreid overzicht van de patches van deze maand met verwijzingen naar de 7 afzonderlijke security bulletins staat op Microsoft Technet.