Microsoft houdt aantal patches in mei beperkt

Uit de vooraankondiging van de patchronde van 11 mei blijkt dat beheerders en eindgebruikers dit keer getrakteerd worden op een ‘kritieke’ update voor Windows 2000, XP, Vista, Server 2003 en 2008. Dezelfde patch is ‘belangrijk’ voor gebruikers van Windows 7 en Server 2008 R2, hoewel deze versies met de standaardinstellingen niet kwetsbaar zijn voor het probleem in kwestie. Microsoft wil deze versies toch updaten “voor het geval dat”. Kwaadwillenden zouden in de toekomst namelijk alsnog manieren kunnen verzinnen om het lek te misbruiken.

De tweede security update, die eveens het stempel ‘kritiek’ krijgt opgedrukt, is bedoeld voor Microsoft Office XP, 2003 en 2007. Ook Visual Basic for Applications en de VBA Software Developers Toolkit (SDK) zijn kwetsbaar. Vermoedelijk gaat het om de conversietool waarmee gebruikers documenten die met Office 2007 en later zijn aangemaakt kunnen openen in oudere Office-versies.

Zoals gewoonlijk ontbreken in de vooraankondiging inhoudelijke details over de patches om geen slapende honden wakker te maken. Bijzonderheden worden pas bekendgemaakt als de security bulletins zijn vrijgegeven. Dat zal komende dinsdagavond rond 8 uur gebeuren.

Opvallend is dat Microsoft nog geen kans heeft gezien om af te rekenen met een recent ontdekt 'zero day'-lek in SharePoint Server 2007 en SharePoint Services 3.0. Door misbruik te maken van deze kwetsbaarheid kunnen kwaadwillenden een ‘cross-site scripting’-aanval uitvoeren. Er is al programmacode in omloop die aantoont dat zo’n aanval mogelijk is. Microsoft zegt nog steeds aan een patch te werken en adviseert klanten in de tussentijd om het probleem heen te werken.