Microsoft patcht stevig door in september

Van de 9 updates kenschetst Microsoft er 4 als ‘kritiek’. Dat betekent dat beheerders en individuele gebruikers er goed aan doen ze met gezwinde spoed te installeren. De overige 5 updates zijn nog altijd ‘belangrijk’.

Zoals gebruikelijk geeft Microsoft in zijn vooraankondiging weinig details prijs over de zwakke plekken die het wil repareren, in afwachting van het vrijgeven van de updates komende dinsdag rond 19 uur Nederlandse tijd.

De vooraankondiging vermeldt slechts dat 7 security bulletins betrekking hebben op bugs die het uitvoeren van code op afstand (‘remote execution’) mogelijk maken. In de 2 andere gevallen bestaat het gevaar dat aanvallers zich hogere toegangsrechten toeëigenen (‘elevation of privilege’). Van de 9 updates zijn er 7 gericht op Windows. Verder is 1 update bedoeld voor Microsoft Office en 1 voor zowel Windows als Office. In 4 gevallen is na het installeren een herstart van de pc vereist en in de overige gevallen misschien ook.

Duidelijk is wel dat Windows 7 minder kwetsbaar is dan oudere versies van Microsofts besturingssysteem. Van de 8 updates voor Windows kunnen de Windows 7-gebruikers er 5 links laten liggen en zijn de resterende 3 weliswaar belangrijk maar niet kritiek. Van de updates voor de voorgaande versie, Windows Vista, zijn er 2 kritiek en 3 belangrijk.

Het is denkbaar dat een van de updates een reeds lang bestaande kwetsbaarheid in honderden Windows-applicaties te lijf gaat. Het betreft een onvolkomenheid in de manier waarop deze toepassingen omgaan met dynamic link libraries (DLL’s). Hackers kunnen daar misbruik van maken en een met misvormde DLL’s bestookte pc naar hun hand zetten. Het probleem staat bekend als ‘DLL load hijacking’. Tot dusver stond Microsoft op het standpunt dat de leveranciers van de applicaties zelf dit probleem moeten aanpakken. Apple heeft dat inmiddels gedaan voor zijn browser Safari.