Microsoft dicht lekken in e-mail en Office

Security Bulletin MS10-030 betreft een lek in Outlook Express, Windows Mail en Windows Live Mail. Kwaadwillenden kunnen deze zwakke plek aangrijpen om een mailserver te infecteren of zelf een kwaadaardige mailserver in te richten. Ook zouden ze een zogeheten ‘man in the middle’-aanval kunnen opzetten door zichzelf tussen de mailserver en de pc’s van eindgebruikers te manoeuvreren.

Er is wel wat voor nodig wil een aanval succes hebben. De aanvaller zal het potentiële slachtoffer ertoe moeten verleiden vanuit Outlook Express of Windows Mail verbinding te maken met een kwaadaardige mailserver. Een ‘man in the middle’-aanval, bijvoorbeeld via een openbare hotspot, lijkt meer kans van slagen te hebben. Het inschakelen van SSL-beveiliging kan in dat scenario bescherming bieden.

Security Bulletin MS10-031 moet afrekenen met een bug in de implementatie van Visual Basic for Applications (VBA) in Microsoft Office. Door dit lek kan een aanvaller van buitenaf programmacode binnensmokkelen en in de VBA-omgeving laten draaien. De patch verandert de manier waarop VBA naar Active X-controls in documenten zoekt. Een aanval kan slagen door een gebruiker zo gek te krijgen een speciaal misvormd Office document te openen.

Microsoft werkt nog aan een patch voor SharePoint Server 2007 en SharePoint Services 3.0 die eind april aan het licht kwam. Voor de kwetsbaarheid in kwestie is al aanvalscode in omloop, maar Microsoft zei dinsdag dat nog steeds geen daadwerkelijke aanvallen zijn gesignaleerd. Microsoft houdt de optie open om met een noodpatch voor het SharePoint-lek te komen als de situatie verandert.

Een samenvatting van de patchronde van mei staat op de website van Microsoft.